Nutzte der US-Geheimdienst "Heartbleed" aus?

Nutzte der US-Geheimdienst
Nutzte der US-Geheimdienst "Heartbleed" aus?(c) imago/Ralph Peters (imago stock&people)
  • Drucken

Die NSA wisse seit mindestens zwei Jahren von der Sicherheitslücke im Internet, berichtet eine Nachrichtenagentur. Die USA dementieren.

Der US-Geheimdienst NSA hat einen Medienbericht zurückgewiesen, wonach er schon seit Langem von der Internet-Sicherheitslücke "Heartbleed" gewusst hat und diese sogar zur Informationsbeschaffung ausnutzte. "Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese öffentlich gemacht wurde", erklärte NSA-Sprecherin Vanee Vines am Freitag.

Auch der Nationale Sicherheitsrat im Weißen Haus dementierte den Bericht. Der Bericht sei falsch, erklärte die Sprecherin des Sicherheitsrats, Caitlin Hayden. Wenn die US-Regierung die Schwachstelle vor der vergangenen Woche entdeckt hätte, wäre dies den Verantwortlichen für die Verschlüsselungssoftware mitgeteilt worden. "Diese Regierung nimmt ihre Verantwortung ernst, bei der Bewahrung eines offenen, voll kompatiblen, sicheren und vertrauenswürdigen Internets zu helfen", fügte Hayden hinzu.

Schwachstelle ausgenutzt

Die Finanznachrichtenagentur Bloomberg hatte unter Berufung auf zwei Informanten berichtet, der US-Geheimdienst habe die Entdeckung der Lücke verschwiegen und die Schwachstelle ausgenutzt, um Passwörter und andere wichtige Daten "zu stehlen". So sei "Heartbleed" Teil des "Werkzeugkastens" der NSA geworden.

"Heartbleed" (Herzbluten) wird inzwischen repariert. Die Lücke ermöglichte Angreifern den Zugriff auf begrenzte Teile des Arbeitsspeichers von Rechnern. OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Dateneingaben wie Passwörter zu verschlüsseln. Dazu gehören auch bekannte soziale Netzwerke. Schätzungen zufolge nutzen in etwa die Hälfte aller Websites weltweit OpenSSL.

Politik soll handeln

Der SPD-Netzexperte Lars Klingbeil forderte politische Konsequenzen aus der Sicherheitslücke. Das Leck reihe sich in mehrere Sicherheitslücken der jüngsten Vergangenheit ein und zeige "politischen Handlungsbedarf", sagte der netzpolitische Sprecher der SPD-Bundestagsfraktion der "Frankfurter Rundschau" vom Samstag. Die Politik müsse sich um die "Verbesserung von IT-Sicherheit, Aufklärung und Vorbeugung" bemühen.

Klingbeil forderte außerdem eine vor allem auch personelle Stärkung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Bürger müssten noch besser über die Sicherheitslücken informiert und aufgeklärt werden, sagte er der Zeitung.

Programmierer habe ein Detail "übersehen

Der netzpolitische Sprecher der Grünen, Konstantin von Notz, sagte hingegen der "FR", eine einzige Behörde könne unmöglich die Sicherheitskontrolle ganzer Quellcodes von Programmen wie Open-SSL übernehmen. Er forderte vielmehr eine Diskussion über die Qualitätssicherung bei solchen Standards.

Der deutsche Programmierer, der für die Sicherheitslücke verantwortlich ist, verwahrte sich gegen Vorwürfe aus der Netzgemeinschaft, er habe mit Absicht und womöglich gar im Auftrag von Geheimdiensten gehandelt. Er habe bei den Arbeiten an einer Version der Software ein Detail "übersehen", schrieb der Programmierer in einer E-Mail an "Spiegel Online". Der Fehler sei an sich "trivial", seine Auswirkungen seien aber "schwerwiegend".

(APA/dpa)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

Internet

Datenleck: Passwort ändern nützt oft nichts

Noch immer haben nicht alle betroffenen Serverbetreiber den Softwarefehler Heartbleed behoben. Wenn durch solche Schlamperei Schäden entstehen, haftet der Betreiber.
The word ´password´ is pictured on a computer screen in this picture illustration taken in Berlin
Internet

Heartbleed: Noch tausende österreichische Webserver betroffen

Gerade viele öffentlichen Einrichtungen dürften die massive Sicherheitslücke noch nicht behoben haben, kritisiert die Arge Daten.
A protester takes part in demonstration against NSA and in support of whistleblower Snowden in Frankfurt
Internet

Heartbleed-Lücke: Verantwortlicher erklärt seinen Fehler

Robin Seggelmann hat 2011 einige Zeilen Code geschrieben und damit für das bisher größte Sicherheitsproblem im Internet gesorgt.
International

Zwei Jahre stand das Internet "weit offen"

Eine schwere Sicherheitslücke macht das Ausspionieren von Daten im Internet zum Kinderspiel.
Sicherheitslücke "Heartbleed" reißt weiter auf
Internet

Sicherheitslücke "Heartbleed" reißt weiter auf

Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.