Ein Patzer bei der Verschlüsselungssoftware OpenSSL betrifft Millionen – Google und Yahoo zählen zu den Anwendern.
Berlin - Die wohl gravierendste Sicherheitslücke in der Geschichte des Internets blieb über zwei Jahre lang unentdeckt, obwohl der Programmiercode für jedermann zugänglich war. Die Verschlüsselungs-Software OpenSSL, in der die fehlerhafte Programmzeile steckte, ist ein sogenanntes Open-Source-Projekt. Das heißt, jeder kann den Programm-Code einsehen und weiterentwickeln. Diese Offenheit sorge für mehr Sicherheit, betonen Verfechter der Open-Source-Bewegung stets. Doch am Ende waren es nicht sie, die den Fehler bemerkten, sondern Mitarbeiter von Google und einer finnischen IT-Sicherheitsfirma.
„Der Fehler an sich ist ziemlich trivial“, schrieb der deutsche Programmierer, dem das verheerende Missgeschick unterlief, in einer E-Mail an „Spiegel Online“. Er hatte eine sogenannte Längenprüfung vergessen. Damit konnten bei eigentlich harmlosen Verbindungs-Anfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Darunter Passwörter und der Schlüssel, mit dem alle gesicherten Daten offen sichtbar werden. Das Entwicklungs-Verfahren bei OpenSSL sieht zwar die Prüfung von Ergänzungen vor, doch offenbar muss auch der Kontrolleur den Fehler übersehen haben.
„Heartbeat“ – Herzschlag – heißt die betroffene Funktion, die im Grunde nur prüfen soll, ob die Verbindung zwischen dem Server hinter einer Website und einem Nutzer noch steht. Die Experten der finnischen Firma Codenomicon tauften die Lücke entsprechend auf den Namen „Heartbleed“, denn dieses Herz blutet.
Dieser kleine Fehler traf hunderttausende Websites und allein bei den betroffenen Diensten von Internet-Giganten wie Google und Yahoo potenziell hunderte Millionen Nutzer. Zudem schaffte es der Software-Bug auch noch in die Netzwerk-Technik der Ausrüster Cisco und Juniper, über die ein Großteil des weltweiten Datenverkehrs läuft. Das besonders perfide dabei: Laut Codenomicon hinterlässt ein „Heartbleed“-Angriff keine Spuren. Also könnten böswillige Hacker oder Geheimdienste wie die NSA seit langem alle möglichen vermeintlich mit Verschlüsselung geschützte Daten mitgelesen haben.
Der NSA-Skandal hat die Wahrnehmung solcher Fehler verändert. „Der Punkt an der Sache ist, dass wir ab jetzt immer davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten“, schrieb der deutsche Blogger und Schwachstellen-Jäger Felix von Leitner. „Wir werden uns mit der Frage beschäftigen müssen, wie wir verhindern, dass ein Code mit solchen Lücken überhaupt geschrieben wird.“ OpenSSL habe dabei als Open-Source-Projekt nicht die Droh- und Lockmittel eines Unternehmens, gab er zu bedenken: Kein Entwickler wird bezahlt, niemandem kann gekündigt werden.
Der amerikanische Technologie-Kolumnist Dan Gillmor forderte die Internet-Nutzer auf, Projekte wie OpenSSL finanziell zu unterstützen. Trotz des gravierenden Fehlers seien die Entwickler Helden, die unentgeltlich an einer offen zugänglichen Software gearbeitet und das Internet sicherer gemacht hätten. Trotz aktueller Panikmache wäre es ein Fehler, die Absicherung der Kommunikation allein profitorientierten Unternehmen zu überlassen. „Je mehr Augen auf einen offenen Programmcode gerichtet sind, desto wahrscheinlicher ist es, dass jemand einen Bug findet“, betonte Gillmor beim „Guardian“.
Zugleich wies der amerikanische Programmierer Rusty Foster darauf hin, dass der Fehler auch auf die betagte Programmiersprache C zurückgehe. „Keine moderne Sprache würde ein solches Leck im Speicher zulassen, weil neuere Sprachen den Speichereinsatz automatisch managen“, schrieb er beim „New Yorker“. Die bange Frage ist nun, wie viele solcher Schwachstellen noch unerkannt sind.