Heartbleed

Für OpenSSL-Sicherheitslücke verantwortlicher Deutscher spricht von einem Versehen

Die Heartbleed-Sicherheitslücke in OpenSSL kommt von einem deutschen Programmierer. Im Gespräch gibt der Verantwortliche an, dass es ein Versehen gewesen sei.

Der für die OpenSSL-Lücke verantwortliche Programmierer meldet sich zu Wort.

© heartbleed.com

Der für die OpenSSL-Lücke verantwortliche Programmierer meldet sich zu Wort.

Die vor einigen Tagen entdeckte Sicherheitslücke "Heartbleed" ist eine der schwerwiegendsten in der Geschichte des Internets. Wenn sie tatsächlich ausgenutzt wurde, könnten damit aus schätzungsweise zwei Dritteln aller Internet-Server User-Passwörter im Klartext ausgelesen werden.Wir berichteten in unserer Heartbleed-Meldung über die Verbreitung und Funktionsweise dieser Lücke.

Der Fehler liegt in der Programmbibliothek OpenSSL 1.0.1 bis 1.0.1f und ermöglicht es einem Angreifer, 64 kByte des Server-Arbeitsspeichers auszulesen - worin mit hoher Sicherheit auch User-Passwörter liegen können. Interessanterweise ist der Bug nicht neu und war in einem Bug-Report der Opensource-Entwickler schon vor zwei Jahren aufgetaucht - und wurde offensichtlich nicht in seiner Schwere erkannt. Ausführliche Informationen sind auf der Seite heartbleed.com nachzulesen.

Die Frage, ob die Lücke tatsächlich vor ihrem jetzigen Bekanntwerden schon ausgenutzt wurde, kann allerdings derzeit niemand beantworten. Ein öffentlich gemachtes Exploit (Programm, das diese Lücke ausnutzt) hat jedenfalls vorher noch nicht existiert. Unser durch die diversen Überwachungsskandale geschärftes Bewusstsein mag hier verständlicherweise nicht recht an die Unschuld der Beteiligten glauben.

Lesetipp: Die 25 schlechtesten Passwörter

Da es sich bei der Problemstelle um quelloffene Software handelt, ist auch der Programmautor leicht feststellbar. Es ist der deutsche Programmierer Robin S., der sich nun im Netz zahlreichen Anfeindungen ausgesetzt sieht - bis hin zum Verdacht, absichtlich eine Backdoor eingebaut zu haben. Allerdings ist es unmöglich, den Unterschied zwischen Absicht und einem Versehen bei einem solchen Bug zu beweisen, zumal es sich um einen häufigen und trivialen Fehler handelt. Der Programmautor hat jetzt dazu Stellung genommen. Er schreibt:  "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neue Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen."

Lesetipp: Sichere Passwörter - so geht's

Für den Anwender ergibt sich jetzt die Frage, wie er auf die Möglichkeit reagiert, dass alle seine Passwörter kompromittiert sein könnten. Sicherheitspuristen werden sicherlich versuchen, alle ihre Passwörter, - auch die von Foren, E-Shops etc - zu ändern. Es scheint jedoch fraglich, ob es sinnvoll ist, diese Mühe und den Zeitaufwand auf sich zu nehmen.  Die wenigen wirklich wichtigen Passwörter sollten jedoch sicherheitshalber geändert werden - in der Hoffnung, dass die Serverbetreiber auf der anderen Seite des Drahtes ihre Hausaufgaben gemacht und jetzt fehlerbereinigte Module eingespielt haben.

Mehr zum Thema

Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.
Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Google will seinen E-Mail-Verkehr zu 100 Prozent sicher machen.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Facebook-Logo
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt…
Symbolbild: Sicherheit
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.