Menü
Leipziger Volkszeitung | Ihre Zeitung aus Leipzig
Anmelden
Polizeiticker Weltweit US-Regierung dementiert Ausnutzen von „Heartbleed“-Lücke durch die NSA
Nachrichten Polizeiticker Weltweit US-Regierung dementiert Ausnutzen von „Heartbleed“-Lücke durch die NSA
Partner im Redaktionsnetzwerk Deutschland
09:05 12.04.2014
NSA-Hauptquartier in Fort Meade. Quelle: National Security Agency/Archiv
New York

Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der „Heartbleed“-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.

Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei Personen geschrieben, die Lücke sei der NSA seit „mindestens zwei Jahren“ bekanntgewesen und von ihr rege genutzt worden. Unter anderem seien damit Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung kam diesmal allerdings keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Die erst diese Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Es ist eine der gravierendsten Sicherheitslücken in der Internet-Geschichte. Da OpenSSL als Verschlüsselungsprogramm weit verbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es potenziell um Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden. Zudem fand sich der Fehler in weit verbreiteter Netzwerk-Technik von Cisco und Juniper. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Er habe beim Verbessern einer Funktion von OpenSSL schlicht ein Element vergessen. Der Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems. Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben.

Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte aktiv nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst eine Lücke von diesem Ausmaß gekannt und nichts gegen unternommen hätte, würde er damit Hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

Bloomberg hatte berichtete, das Ausnutzen der Schwachstelle habe zum Standard-Werkzeugkasten der NSA gehört. Bei Nachfragen vor Veröffentlichung des Berichts habe der Geheimdienst einen Kommentar zu der Information noch abgelehnt, schrieb die Nachrichtenagentur.

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich daran. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden. Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls.

Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Da der deutsche Programmierer eine sogenannte Längenprüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungsabfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt „Heartbeat“, Herzschlag. Die Schwachstelle wurde in Anlehnung daran „Heartbleed“ genannt.

dpa

Kommentare
Die Debatte geht am Morgen weiter
Die Kommentarfunktion ist zwischen 23:00 und 06:00 Uhr nicht aktiv – denn wir wollen eine gute Moderation der Beiträge gewährleisten.
Wir freuen uns am Morgen über Ihre konstruktiven Beiträge zum Thema!

Ein nach einer Auktion in Hongkong vermisstes Gemälde ist vermutlich im Müll gelandet. Das Tuschgemälde „Verschneiter Berg“ des chinesischen Künstlers Cui Ruzhuo verschwand vor wenigen Tagen spurlos - nach einer Auktion in einem Hongkonger Nobelhotel.

10.04.2014

Vor einer Woche erschütterte der Amoklauf von Fort Hood Amerika, jetzt ging ein 16-Jähriger mit einem Messer auf Mitschüler los. Es gab 20 Verletzte.Ein 16-Jähriger hat mit Messern an einer High-School in den USA 19 Mitschüler und einen Wachmann verletzt.

09.04.2014

Vier Wochen dem Verschwinden von Flug MH370 gibt es neue Hoffnung bei der Suche nach der verschollenen Boeing. Zwei von australischen Suchmannschaften im Indischen Ozean geortete Funksignale entsprächen denen eines Flugschreibers, sagte der Koordinator der Suchaktion, Angus Houston, am Montag in Perth über die Signale vom Wochenende.

07.04.2014