zur Navigation springen

Verdacht : „Heartbleed“-Lücke pure Absicht?

vom
Aus der Redaktion der Zeitung für die Landeshauptstadt

Die gewaltige Sicherheitslücke auf vielen Webseiten soll die NSA seit Jahren verschwiegen haben, um selbst daraus Nutzen zu ziehen

Der US-Geheimdienst NSA hat nach Darstellung der US-Regierung eine massive Sicherheitslücke im Internet nicht zum Datensammeln ausgenutzt. Die Regierung in Washington dementierte binnen Stunden einen Medienbericht, wonach die NSA die „Heartbleed“-Schwachstelle seit langem gekannt und ihren Vorteil daraus gezogen habe. Allerdings berichtete die „New York Times“, dass Präsident Barack Obama der NSA zugestanden habe, Sicherheitslücken aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung auszunutzen.

Die erst in der vergangenen Woche publik gewordene „Heartbleed“-Lücke sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und so vermeintlich geschützte Daten abgreifen können. Es ist eine der gravierendsten Sicherheitslücken in der Internet-Geschichte. Da OpenSSL als Verschlüsselungsprogramm weit verbreitet ist, waren mehrere Hunderttausend Websites betroffen.Die Behörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der Lücke erfahren, sagte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden.

Die US-Regierung verlasse sich selbst auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei Personen geschrieben, die Lücke sei der NSA seit „mindestens zwei Jahren“ bekanntgewesen. Unter anderem seien darüber Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung fiel diesmal aber deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Allerdings habe US-Präsident Barack Obama der National Security Agency (NSA) zugestanden, Sicherheitslücken im Internet unter gewissen Umständen zu verschweigen und auszunutzen, berichtete die „New York Times“ online unter Berufung auf hochrangige Regierungsvertreter. Dies sei aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung gerechtfertigt.Im konkreten Fall könnten Millionen Nutzer, die Dienste der Internet-Giganten Yahoo und Google nutzen, zu möglichen Angriffszielen werden. Zudem fand sich der Fehler in weit verbreiteter Netzwerk-Technik von Cisco und Juniper. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen.

Hätte der Geheimdienst eine Lücke dieses Ausmaßes gekannt und nichts unternommen, hätte er Hunderte Millionen Nutzer potenziellen Angriffen von online-Kriminellen ausgeliefert.

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden. Der Fehler findet sich in einer Funktion namens „Heartbeat“, Herzschlag. Die Schwachstelle wurde in Anlehnung daran „Heartbleed“ genannt.

 

So wird das Passwort hackersicher

 

Mit relativ wenig Aufwand können sich Surfer besser schützen. Die wichtigste Regel lautet, sichere Passwörter zu verwenden, raten das BSI (Bundesamt für Sicherheit in der Informationstechnik) und die polizeiliche Kriminalprävention. Ein sicheres Passwort enthält kein Wort aus dem Wörterbuch. Stattdessen besteht es idealerweise aus groß und klein geschriebenen Buchstaben, Zahlen sowie Sonderzeichen – ohne ersichtlichen Sinnzusammenhang. Geburtsdaten sind etwa ebenso tabu wie der Namen des Haustiers. Außerdem sollten Nutzer eine Firewall verwenden und Betriebssystem wie Software stets auf dem aktuellsten Stand halten.

 

 

 

zur Startseite

von
erstellt am 14.Apr.2014 | 16:02 Uhr

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen