40.000
  • Startseite
  • » Nachrichten
  • » Deutschland & Welt
  • » NSA soll «Heartbleed»-Sicherheitslücke schon lange genutzt haben
  • Aus unserem Archiv

    New YorkNSA soll «Heartbleed»-Sicherheitslücke schon lange genutzt haben

    Der US-Geheimdienst NSA hat die jüngst öffentlich gewordene schwerwiegende Sicherheitslücke im Internet laut einem Medienbericht seit langem systematisch ausgenutzt.

    Foto: NSA

    Diese Schwachstelle in der Verschlüsselungssoftware OpenSSL sei dem US-Geheimdienst seit «mindestens zwei Jahren» bekannt gewesen, schrieb die Finanznachrichtenagentur Bloomberg am Freitagabend unter Berufung auf zwei informierte Personen. Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand.

    Die erst diese Woche öffentlich gewordene Schwachstelle, die auf den Namen «Heartbleed» getauft wurde, sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Da OpenSSL als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potenziell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden.

    Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen. Er habe beim Verbessern einer Funktion von OpenSSL schlicht ein Element vergessen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

    Die NSA habe die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt, berichtete Bloomberg jetzt. Die Lücke sei dann zu einem Grundelement des «Werkzeugkastens» des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

    Schon nach Auftauchen des Problems war spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hatte. Sie forschte aktiv nach Schwachstellen und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst die Lücke kannte und nichts gegen unternahm, hat er damit Hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

    OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich daran. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden.

    Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Da der deutsche Programmierer eine sogenannte Längenprüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungs-Abfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt «Heartbeat», Herzschlag. Die Schwachstelle wurde in Anlehnung daran «Heartbleed» genannt.

    Bloomberg-Bericht

    Google-Blogeintrag

    Bericht von Ars Technica

    Blogeintrag von Bruce Schneier

    Blogeintrag der EFF

    Mitteilung von Juniper

    Mitteilung von Cisco

    Blogeintrag von Cloudflare

    Datensicherheit: Für jeden Dienst ein anderes Kennwort – unsere Internet-SerieNach der Heartbleed-Sicherheitslücke: Hier erneuern Sie KennwörterWarum man dieses Mal sein Passwort wirklich ändern muss«Heartbleed»-GAU stellt Sicherheit des Internets in FrageUS-Geheimdienst dementiert Ausnutzen von «Heartbleed»-Lückeweitere Links
    Deutschland & Welt
    Meistgelesene Artikel
    Ihre Fragen, Hinweise oder Kritik

    Onliner vom Dienst

    Jochen Magnus

    0261/892-330 | Mail


    Fragen zum Abo: 0261/98362000 | Mail

    epaper-startseite
    News aus Ihrer Region - Lokalteil wählen
    wissenlinz,neuwiedremagenmontabaurandernach,mayenkoblenzdiezbademszellsimmernbirkenfeldkirn,badsobernheim,meisenheimbadkreuznach
    Anzeige
    • Lokalticker
    • Regionalsport
    • Newsticker
    Das Wetter in der Region
    Freitag

    14°C - 25°C
    Samstag

    12°C - 21°C
    Sonntag

    12°C - 21°C
    Montag

    15°C - 24°C

    Das Wetter wird Ihnen präsentiert von:

    UMFRAGE
    Beim Jahrmarkt: Lieber sicher oder lässig?

    Die Sicherheitsstrategie auf der Bad Kreuznacher Pfingstwiese ist weniger streng als im letzten Jahr. Hunderttausende werden dort zum Jahrmarkt erwartet. Wie finden Sie das?

    Anzeige
    Event-Kalender
    Veranstaltungstipps

    Sie haben einen Veranstaltungstipp für uns? Hier geht's zum Formular!