# taz.de -- Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?
> Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren
> Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für
> Geheimdienste.
(IMG) Bild: Das Logo von Heartbleed.
BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“
hat der Programmierer des fehlerhaften Codes Spekulationen über eine
mögliche Absicht hinter der Schwachstelle widersprochen. „Es war ein
einfacher Programmierfehler in einem neuen Feature, der unglücklicherweise
in einem sicherheitsrelevanten Bereich aufgetreten ist“, sagte er der
australischen Zeitung [1][Sydney Morning Herald].
Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die
Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie
eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer
Backdoor, und es sieht aus wie eine Backdoor“, schreibt etwa der
IT-Sicherheitsexperte Felix von Leitner in seinem [2][Blog]. Der
Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler
entgangen sei.
Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine
der größten jemals entdeckten, zunächst sollen eine halbe Million Webseiten
betroffen gewesen sein. Dazu gehörten unter anderem web.de, Flickr oder die
Hypovereinsbank. Als „katastrophal“ [3][bezeichnet] etwa der
Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10
ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem
Programmierfehler um ein Missgeschick gehandelt habe.
Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen
Computer und etwa der Webseite einer Bank übermittelte Daten abfangen, nur
unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in
der Software OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel
herankommen können – und so die übermittelten Daten doch mitlesen können.
Das können etwa Passwörter für das Login beim Email-Anbieter sein oder die
PIN beim Online-Banking.
## Lücke seit November genutzt
Hintergrund der Spekulationen über eine mögliche Absicht bei dem Fehler
sind auch die Enthüllungen über Überwachungsmethoden von US-Geheimdiensten
aus den vergangenen Monaten. So wurde beispielsweise bekannt, dass die NSA
eine Sicherheitslücke in einen Zufallszahlengenerator einbaute – dessen
generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen
spielen eine zentrale Rolle bei Verschlüsselungsmechanismen.
Auch wenn die Lücke ein schlichter Programmierfehler war, ist es gut
möglich, dass sie bereits ausgenutzt wurde: So wurde die Software-Version
mit dem Fehler bereits im März 2012 veröffentlicht und wird seitdem
eingesetzt. Zudem deuten laut der [4][Electronic Frontier Foundation] (EFF)
Indizien darauf hin, dass die Lücke seit dem vergangenen November
ausgenutzt wurde. Das dabei gezeigte Verhalten passe dabei eher zu
Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen, so die
Einschätzung der Bürgerrechtsorganisation.
Sicherheitsxperten raten Nutzern nun, ihre Passwörter zu ändern. Vorher
lohnt es sich jedoch zu überprüfen, ob die Betreiber des jeweiligen
Dienstes schon ein Software-Update eingespielt und ein neues
Verschlüsselungszertifikat installiert haben, so dass der Fehler behoben
ist. Das geht beispielsweise unter [5][filippo.io/Heartbleed].
Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens
Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre
aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren
lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in
Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der
Banken überhaupt diese Möglichkeit.
11 Apr 2014
## LINKS
(DIR) [1] http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbleed-security-flaw-denies-he-inserted-it-deliberately-20140410-zqta1.html
(DIR) [2] http://blog.fefe.de
(DIR) [3] http://www.schneier.com/blog/archives/2014/04/heartbleed.html
(DIR) [4] http://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013
(DIR) [5] http://filippo.io/Heartbleed
## AUTOREN
(DIR) Svenja Bergt
## TAGS
(DIR) Heartbleed
(DIR) Sicherheitslücken
(DIR) Software
(DIR) Diskurs
(DIR) Big Data
(DIR) Hacker
(DIR) Finanzen
(DIR) Heartbleed
(DIR) Heartbleed
(DIR) Heartbleed
(DIR) Heartbleed
## ARTIKEL ZUM THEMA
(DIR) Zehn Jahre „Fefes Blog“: Die Hassmaschine der Arschlochnerds
„Fefes Blog“ ist diskursmächtig. Und ein Problem. Es ist das Leitmedium für
den reaktionär-ignoranten Teil der männlichen deutschen Netzszene.
(DIR) Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht
Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne.
Doch gerade beim Datenverkehr gilt: Sicherheit ist besser.
(DIR) „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft
Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese
schon ausgenutzt. Panik privater Nutzer ist unangebracht.
(DIR) „Heartbleed“ und Open-Source-Software: Sicherheit kostet
Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die
Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme
schaffen.
(DIR) Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen.
(DIR) „Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der
Technik.
(DIR) Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert
wird.
(DIR) Sicherheitslücke im Netz: „Heartbleed“ geht alle an
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine
Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel.