Digital

Verschlüsselungs-Super-GAU

NSA soll Heartbleed-Fehler systematisch ausgenutzt haben

Heartbleed ist eine der grössten Sicherheitslücken in der Geschichte des Internets - und der US-Geheimdienst hat diesen Fehler angeblich ausgenutzt. Laut Nachrichtenagentur Bloomberg soll die NSA schon lange davon gewusst haben. Die US-Regierung dementiert.

11.04.14, 14:12 12.04.14, 08:01

Ein Artikel von

Der US-Geheimdienst NSA hat die schwere Internet-Sicherheitslücke Heartbleed angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit mindestens zwei Jahren bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen.

Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand - denn Heartbleed existiert seit etwa zwei Jahren. Die erst in dieser Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer Verschlüsselungen aushebeln und die vermeintlich geschützten Daten abgreifen können.

Die NSA hat die Lücke laut Bloomberg kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt. Sie sei dann zu einem Grundelement des Werkzeugkastens des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über Heartbleed hinterlassen keine Spuren auf dem Server.

Die US-Regierung hat den Vorwurf dementiert. Regierungsbehörden hätten erst im April durch einen Bericht von IT-Sicherheitsexperten von Heartbleed erfahren, erklärte eine Sprecherin des Nationalen Sicherheitsrates. In ihrem im Internet veröffentlichten Statement heisst es zudem: «Diese Regierung nimmt ihre Verantwortung ernst, ein offenes, sicheres und vertrauenswürdiges Internet zu erhalten.» Es gebe ein nationales Interesse daran, eine solche Schwachstelle sofort nach der Entdeckung bekannt zu geben. Auch ein Sprecher des US-Geheimdienstes erklärte, die NSA habe von Heartbleed bis vor Kurzem nichts gewusst.

Grosse Probleme beim Knacken von Verschlüsselungen

Sollte die NSA aber tatsächlich von dem Fehler über einen längeren Zeitraum gewusst haben, wäre das ein Skandal. Der Geheimdienst hätte dann in Kauf genommen, dass nicht nur er selbst Passwörter und andere sensible Informationen ausspähen konnte, sondern auch andere Geheimdienste und kriminelle Hacker.

Der Grund dafür ist vermutlich, dass Geheimdienste wie die NSA offenbar große Probleme damit haben, gute Verschlüsselung zu knacken. Davon gehen zumindest der ehemalige NSA-Mitarbeiter Edward Snowden und Kryptografie-Experten aus. Um dennoch verschlüsselte Daten lesen zu können, muss sich die NSA also andere Wege suchen.

Zum einen geht aus geheimen Dokumenten hervor, dass die NSA internationale Standards zur Verschlüsselung sabotiert hat: Die Algorithmen wurden absichtlich unsicher gemacht, damit sich die Verschlüsselung nachträglich einfacher knacken lässt. Ausserdem setzt die NSA darauf, an sensible Informationen über Sicherheitslücken zu kommen - solche wie Heartbleed.

Man kann davon ausgehen, dass Geheimdienste weltweit Fehler in Software und Hardware sammeln, um sich Zugang zu Informationen zu beschaffen. Im Dezember veröffentlichte der SPIEGEL einen Katalog mit Hintertüren in verschiedenen Produkten bekannter Hersteller. Dabei handelt es sich um Netzwerk-Komponenten, die häufig zum Einsatz kommen.

Kritik an der NSA schon im Dezember

Schon damals wurde die NSA dafür kritisiert, ihre eigenen Interessen über die Sicherheit von Firmen und Menschen weltweit zu stellen. Experten warnten, Hacker und andere Geheimdienste könnten diese Lücken ebenso finden und ausnutzen - eine Geheimhaltung sei deshalb nicht verantwortungsvoll.

Bei der Heartbleed-Lücke geht es nicht nur um bestimmte Produkte, sondern um eine der wichtigsten Komponenten des Webs. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt.

Wer von dieser gravierenden Sicherheitslücke wusste, konnte bis zu dieser Woche an sensible Informationen bei grossen Diensten wie Facebook, Yahoo, Google und etlichen aderen gelangen. Seit Bekanntwerden der von einem Deutschen programmierten Sicherheitslücke werden Nutzer daher dazu aufgefordert, ihre Passwörter im Internet zu verändern, um einen Missbrauch der Daten zu verhindern. (mxw/ore/dpa/Reuters)

Die Liste der Webserver, die noch von der Heartbleed-Lücke betroffen sind, wird offenbar ständig kürzer. Ursprünglich wurde geschätzt, dass zwei Drittel des Webs betroffen sein könnten. Am Freitag waren es nach verschiedenen Schätzungen noch mehrere tausend Server – und damit wenige Prozent.

Lesen Sie mehr über Heartbleed auf watson.

Hol dir die App!

Brikne, 20.7.2017
Neutrale Infos, Gepfefferte Meinungen. Diese Mischung gefällt mir.
Abonniere unseren NewsletterNewsletter-Abo
2
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 72 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • papparazzi 11.04.2014 18:52
    Highlight Was wären doch Antiviren-Programme ohne Hacker? ut (dp)
    1 3 Melden
  • Gelöschter Benutzer 11.04.2014 14:50
    Highlight "Die Betriebssysteme von Microsoft und Apple sind nicht direkt von der OpenSSL-Lücke betroffen."

    die haben schon genuegend eigene (und noch undokumentierte) loecher da eruebrigt s sich noch um anderes zu sorgen.
    6 3 Melden

Die unfassbar raffinierten Tricks der Kryptocoin-Diebe

Je mehr Menschen in Kryptowährungen wie Bitcoin und Iota investieren, desto attraktiver wird der Markt auch für Betrüger. Ihre Maschen sind oft raffiniert, das zeigen aktuelle Fälle, in denen Nutzer viel Geld verloren haben.

Als Thomas Neumann Mitte Januar aus dem Urlaub zurückkam, war da auf einmal nur noch eine Null. Zehn sogenannte GIOTA waren aus seiner elektronischen Geldbörse verschwunden, Guthaben in der gerade angesagten Kryptowährung Iota. Im Dezember hatte er dafür 30'000 Euro investiert. Offenbar hatte jemand auf Neumanns Digitalgeld zugreifen und es so stehlen können.

«Ich habe den Iota-Support angeschrieben und nicht einmal eine Antwort bekommen», erzählt Neumann, der eigentlich anders heisst. …

Artikel lesen