# taz.de -- Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor? > Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren > Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für > Geheimdienste. (IMG) Bild: Das Logo von Heartbleed. BERLIN taz | Nach der Entdeckung der schweren Sicherheitslücke „Heartbleed“ hat der Programmierer des fehlerhaften Codes Spekulationen über eine mögliche Absicht hinter der Schwachstelle widersprochen. „Es war ein einfacher Programmierfehler in einem neuen Feature, der unglücklicherweise in einem sicherheitsrelevanten Bereich aufgetreten ist“, sagte er der australischen Zeitung [1][Sydney Morning Herald]. Zuvor hatte es Spekulationen gegeben, dass die Lücke bewusst in die Software programmiert worden sein könnte. „Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor“, schreibt etwa der IT-Sicherheitsexperte Felix von Leitner in seinem [2][Blog]. Der Programmierer des Codes hält dagegen, dass auch einem Prüfer der Fehler entgangen sei. Die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL gilt als eine der größten jemals entdeckten, zunächst sollen eine halbe Million Webseiten betroffen gewesen sein. Dazu gehörten unter anderem web.de, Flickr oder die Hypovereinsbank. Als „katastrophal“ [3][bezeichnet] etwa der Sicherheitsexperte Bruce Schneier die Lücke. „Auf einer Skala von 1 bis 10 ist es die 11.“ Er gehe aber davon aus, dass es sich bei dem Programmierfehler um ein Missgeschick gehandelt habe. Eigentlich dient SSL dazu, dass Dritte, die zwischen dem heimischen Computer und etwa der Webseite einer Bank übermittelte Daten abfangen, nur unverständliche Zeichenketten zu sehen bekommen. Die Sicherheitslücke in der Software OpenSSL führt jedoch dazu, dass Angreifer an den Schlüssel herankommen können – und so die übermittelten Daten doch mitlesen können. Das können etwa Passwörter für das Login beim Email-Anbieter sein oder die PIN beim Online-Banking. ## Lücke seit November genutzt Hintergrund der Spekulationen über eine mögliche Absicht bei dem Fehler sind auch die Enthüllungen über Überwachungsmethoden von US-Geheimdiensten aus den vergangenen Monaten. So wurde beispielsweise bekannt, dass die NSA eine Sicherheitslücke in einen Zufallszahlengenerator einbaute – dessen generierte Zahlen damit nicht mehr ganz so zufällig waren. Zufallszahlen spielen eine zentrale Rolle bei Verschlüsselungsmechanismen. Auch wenn die Lücke ein schlichter Programmierfehler war, ist es gut möglich, dass sie bereits ausgenutzt wurde: So wurde die Software-Version mit dem Fehler bereits im März 2012 veröffentlicht und wird seitdem eingesetzt. Zudem deuten laut der [4][Electronic Frontier Foundation] (EFF) Indizien darauf hin, dass die Lücke seit dem vergangenen November ausgenutzt wurde. Das dabei gezeigte Verhalten passe dabei eher zu Geheimdiensten als etwa zu Akteuren mit finanziellen Interessen, so die Einschätzung der Bürgerrechtsorganisation. Sicherheitsxperten raten Nutzern nun, ihre Passwörter zu ändern. Vorher lohnt es sich jedoch zu überprüfen, ob die Betreiber des jeweiligen Dienstes schon ein Software-Update eingespielt und ein neues Verschlüsselungszertifikat installiert haben, so dass der Fehler behoben ist. Das geht beispielsweise unter [5][filippo.io/Heartbleed]. Die Sicherheitslücke ist ein weiteres Argument für eine Technik namens Perfect Forward Secrecy. Sie verhindert, dass sich über Jahre aufgezeichneter verschlüsselter Datenverkehr nachträglich dechiffrieren lässt, wenn ein Angreifer an den Schlüssel gelangt. Doch auch in Deutschland wird sie nur zögerlich eingesetzt – so nutzt nur ein Teil der Banken überhaupt diese Möglichkeit. 11 Apr 2014 ## LINKS (DIR) [1] http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbleed-security-flaw-denies-he-inserted-it-deliberately-20140410-zqta1.html (DIR) [2] http://blog.fefe.de (DIR) [3] http://www.schneier.com/blog/archives/2014/04/heartbleed.html (DIR) [4] http://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013 (DIR) [5] http://filippo.io/Heartbleed ## AUTOREN (DIR) Svenja Bergt ## TAGS (DIR) Heartbleed (DIR) Sicherheitslücken (DIR) Software (DIR) Diskurs (DIR) Big Data (DIR) Hacker (DIR) Finanzen (DIR) Heartbleed (DIR) Heartbleed (DIR) Heartbleed (DIR) Heartbleed ## ARTIKEL ZUM THEMA (DIR) Zehn Jahre „Fefes Blog“: Die Hassmaschine der Arschlochnerds „Fefes Blog“ ist diskursmächtig. Und ein Problem. Es ist das Leitmedium für den reaktionär-ignoranten Teil der männlichen deutschen Netzszene. (DIR) Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. Doch gerade beim Datenverkehr gilt: Sicherheit ist besser. (DIR) „Shellshock“-Lücke bei Apple und Linux: Die erste Angriffswelle läuft Nach dem Bekanntwerden einer 20 Jahre alten Sicherheitslücke wird diese schon ausgenutzt. Panik privater Nutzer ist unangebracht. (DIR) „Heartbleed“ und Open-Source-Software: Sicherheit kostet Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme schaffen. (DIR) Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen. (DIR) „Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der Technik. (DIR) Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert wird. (DIR) Sicherheitslücke im Netz: „Heartbleed“ geht alle an Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel.