Seit zwei Jahren soll die NSA von dem "Heartbleed" getauften Fehler in der Sicherheitssoftware OpenSSL gewusst haben. Laut einem Medienbericht nutzte der US-Geheimdienst dieses Wissen systematisch aus - auf Kosten von Millionen Internetnutzern.

01:02 min

Technik 11.04.14

SSL-Verschlüsselung nutzlos "Heartbleed"-Lücke gefährdet Millionen Internetnutzer

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe. Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der "Heartbleed"-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, sagte die Sprecherin. "Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese öffentlich gemacht wurde", erklärte auch NSA-Sprecherin Vanee Vines.

Zuvor hatte die Nachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen geschrieben, die Lücke sei der NSA seit "mindestens zwei Jahren" bekannt gewesen und von ihr rege genutzt worden. Unter anderem seien damit Passwörter abgegriffen worden. Das Dementi der Regierung kam keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Die erst diese Woche öffentlich gewordene Schwachstelle, die auf den Namen "Heartbleed" getauft wurde, sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Da OpenSSL als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potenziell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden.

Angriffe hinterlassen keine Spuren

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Er habe beim Verbessern einer Funktion von OpenSSL schlicht ein Element vergessen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

Die NSA habe die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt, berichtete Bloomberg. Die Lücke sei dann zu einem Grundelement des "Werkzeugkastens" des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Schon nach Auftauchen des Problems war spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hatte. Sie forschte aktiv nach Schwachstellen und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst die Lücke kannte und nichts gegen unternahm, hätte er damit Hunderte Millionen Nutzer möglichen Angriffen von Online-Kriminellen ausgesetzt.

Programm ist ein Open-Source-Projekt

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich daran. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden.

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind.

Da der deutsche Programmierer eine sogenannte Längenprüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungs-Abfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt "Heartbeat", Herzschlag. Die Schwachstelle wurde in Anlehnung daran "Heartbleed" genannt.

Politische Konsequenzen gefordert

SPD-Netzexperte Lars Klingbeil fordert nach der Entdeckung von "Heartbleed" politische Konsequenzen. Das Leck reihe sich in mehrere Sicherheitslücken der jüngsten Vergangenheit ein und zeige "politischen Handlungsbedarf", sagte der netzpolitische Sprecher der SPD-Bundestagsfraktion der "Frankfurter Rundschau". Die Politik müsse sich um die "Verbesserung von IT-Sicherheit, Aufklärung und Vorbeugung" bemühen. Klingbeil forderte außerdem eine vor allem auch personelle Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Bürger müssten noch besser über die Sicherheitslücken informiert und aufgeklärt werden, sagte er der Zeitung.

Der netzpolitische Sprecher der Grünen, Konstantin von Notz, sagte hingegen der "FR", eine einzige Behörde könne unmöglich die Sicherheitskontrolle ganzer Quellcodes von Programmen wie Open-SSL übernehmen. Er forderte vielmehr eine Diskussion über die Qualitätssicherung bei solchen Standards.