Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Verschlüsselungs-Super-GAU

NSA soll Heartbleed-Fehler systematisch ausgenutzt haben

Heartbleed ist eine der grössten Sicherheitslücken in der Geschichte des Internets - und der US-Geheimdienst hat diesen Fehler angeblich ausgenutzt. Laut Nachrichtenagentur Bloomberg soll die NSA schon lange davon gewusst haben. Die US-Regierung dementiert.

11.04.14, 14:12 12.04.14, 08:01

Ein Artikel von

Der US-Geheimdienst NSA hat die schwere Internet-Sicherheitslücke Heartbleed angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit mindestens zwei Jahren bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen.

Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand - denn Heartbleed existiert seit etwa zwei Jahren. Die erst in dieser Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer Verschlüsselungen aushebeln und die vermeintlich geschützten Daten abgreifen können.

Die NSA hat die Lücke laut Bloomberg kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt. Sie sei dann zu einem Grundelement des Werkzeugkastens des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über Heartbleed hinterlassen keine Spuren auf dem Server.

Die US-Regierung hat den Vorwurf dementiert. Regierungsbehörden hätten erst im April durch einen Bericht von IT-Sicherheitsexperten von Heartbleed erfahren, erklärte eine Sprecherin des Nationalen Sicherheitsrates. In ihrem im Internet veröffentlichten Statement heisst es zudem: «Diese Regierung nimmt ihre Verantwortung ernst, ein offenes, sicheres und vertrauenswürdiges Internet zu erhalten.» Es gebe ein nationales Interesse daran, eine solche Schwachstelle sofort nach der Entdeckung bekannt zu geben. Auch ein Sprecher des US-Geheimdienstes erklärte, die NSA habe von Heartbleed bis vor Kurzem nichts gewusst.

Grosse Probleme beim Knacken von Verschlüsselungen

Sollte die NSA aber tatsächlich von dem Fehler über einen längeren Zeitraum gewusst haben, wäre das ein Skandal. Der Geheimdienst hätte dann in Kauf genommen, dass nicht nur er selbst Passwörter und andere sensible Informationen ausspähen konnte, sondern auch andere Geheimdienste und kriminelle Hacker.

Der Grund dafür ist vermutlich, dass Geheimdienste wie die NSA offenbar große Probleme damit haben, gute Verschlüsselung zu knacken. Davon gehen zumindest der ehemalige NSA-Mitarbeiter Edward Snowden und Kryptografie-Experten aus. Um dennoch verschlüsselte Daten lesen zu können, muss sich die NSA also andere Wege suchen.

Zum einen geht aus geheimen Dokumenten hervor, dass die NSA internationale Standards zur Verschlüsselung sabotiert hat: Die Algorithmen wurden absichtlich unsicher gemacht, damit sich die Verschlüsselung nachträglich einfacher knacken lässt. Ausserdem setzt die NSA darauf, an sensible Informationen über Sicherheitslücken zu kommen - solche wie Heartbleed.

Man kann davon ausgehen, dass Geheimdienste weltweit Fehler in Software und Hardware sammeln, um sich Zugang zu Informationen zu beschaffen. Im Dezember veröffentlichte der SPIEGEL einen Katalog mit Hintertüren in verschiedenen Produkten bekannter Hersteller. Dabei handelt es sich um Netzwerk-Komponenten, die häufig zum Einsatz kommen.

Kritik an der NSA schon im Dezember

Schon damals wurde die NSA dafür kritisiert, ihre eigenen Interessen über die Sicherheit von Firmen und Menschen weltweit zu stellen. Experten warnten, Hacker und andere Geheimdienste könnten diese Lücken ebenso finden und ausnutzen - eine Geheimhaltung sei deshalb nicht verantwortungsvoll.

Bei der Heartbleed-Lücke geht es nicht nur um bestimmte Produkte, sondern um eine der wichtigsten Komponenten des Webs. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt.

Wer von dieser gravierenden Sicherheitslücke wusste, konnte bis zu dieser Woche an sensible Informationen bei grossen Diensten wie Facebook, Yahoo, Google und etlichen aderen gelangen. Seit Bekanntwerden der von einem Deutschen programmierten Sicherheitslücke werden Nutzer daher dazu aufgefordert, ihre Passwörter im Internet zu verändern, um einen Missbrauch der Daten zu verhindern. (mxw/ore/dpa/Reuters)

Die Liste der Webserver, die noch von der Heartbleed-Lücke betroffen sind, wird offenbar ständig kürzer. Ursprünglich wurde geschätzt, dass zwei Drittel des Webs betroffen sein könnten. Am Freitag waren es nach verschiedenen Schätzungen noch mehrere tausend Server – und damit wenige Prozent.

Lesen Sie mehr über Heartbleed auf watson.



Hol dir die App!

Zeno Hirt, 25.6.2017
Immer wieder mal schmunzeln und sich freuen an dem, was da weltweit alles passiert! Genial!

Abonniere unseren Daily Newsletter

1
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1Kommentar anzeigen

Tausende Schweizer fallen gerade auf diesen Facebook-Betrug herein – das steckt dahinter

Seit einigen Wochen grassiert im deutschsprachigen Raum eine regelrechte Welle an Fake-Gewinnspielen. Auf Facebook gebe es so viele betrügerische Gewinnspiele «wie noch nie», schreibt das auf Online-Betrug spezialisierte Portal Mimikama.

Betrüger machen im Namen bekannter Marken wie Aldi, MediaMarkt oder Ikea mit vermeintlichen Verlosungen gezielt Jagd auf Postadressen, E-Mail-Adressen und Telefonnummern von Facebook-Nutzern. 

Obwohl die Masche alt ist, fallen im Moment wieder …

Artikel lesen