Super-GAU im Netz
9. April 2014
Wer eine Webseite mit persönlichen Zugangsdaten besucht, sieht oben in der Browserzeile am Anfang der URL die Buchstaben https. Ein Zeichen dafür, dass der Server, auf dem diese Seite liegt, mit der Verschlüsselungstechnik OpenSSL geschützt ist. Das sind nicht etwa irgendwelche exotischen Seiten, sondern es sind Portale wie Amazon, Facebook, Google oder Yahoo, hinzu kommen verschiedene Mailserver und Onlinebanking - kurzum: alles Seiten, auf denen tagtäglich Millionen Internetuser unterwegs sind. Die SSL-Software soll Informationen wie Zugangsdaten, Kreditkartennummern und Mailinhalte auf ihrem Weg durch das Netz schützen.
Jetzt haben Techniker von Google und der finnischen IT-Sicherheitsfirma Codenomicon ein großes Leck in der sicher geglaubten Verbindung gefunden. Sie nennen den Programmierfehler "Heartbleed"-Bug. Er ermöglicht es Angreifern, die Kommunikation im Netz mitzulesen, Daten direkt von Diensten und Nutzern zu stehlen und sich selbst sogar als Nutzer oder Webdienst auszugeben. Das geschieht, indem der Speicherserver in vielen kleinen Schritten ausgelesen wird. Bei jedem Zugriff auf den Speicher können kleine Datenpäckchen geklaut werden. Zusammengefügt ergeben die kleinen Speicherstückchen dann die gewünschten Informationen wie etwa Passwörter.
Die Entdecker des Fehlers sind in die Rollen von Hackern geschlüpft und haben Tests durchgeführt: "Wir griffen uns selbst von außen an, ohne eine Spur zu hinterlassen", heißt es auf der Heartbleed-Infowebseite, die Codenomicon extra hierfür ins Netz gestellt hat. "Ohne jegliche Zugangsdaten stahlen wir uns selbst die geheimen Schlüssel für die Sicherheitszertifikate, Usernamen und Passwörter und lasen Instant Messages und E-Mails mit", schreiben die Sicherheitsexperten.
Schlag ins Herz des Internets
Die Netzwelt ist alarmiert. Technik-Experten sprechen vom "Super-GAU", vom Schlag ins Herz des Internets. Knapp 260 Millionen Webseiten gibt es, davon laufen gut zwei Drittel auf Servern, die OpenSSL einsetzen - und so ist nahezu jeder Nutzer betroffen. Besonders vorsichtig sollen die Nutzer sein, die über versteckte Netzwerke wie etwa das Tor-Projekt kommunizieren, also auch verfolgte Blogger oder Internetaktivisten. Mit den geknackten Schlüsseln hätten sich die Angreifer die "Kronjuwelen herausgepickt", heißt es auf der Webseite von Codenomicon - denn damit könnten alle SSL-verschlüsselten Informationen entziffert werden. Eine unerschöpfliche Goldgrube für Schnüffler, Betrüger und andere Cyberkriminelle.
Obwohl viele Seiten von der Lücke betroffen sind, sind die meisten Dienste offenbar nicht akut gefährdet. Unproblematisch ist es - noch - bei Facebook, Google, Wordpress oder Wikipedia. Gefährdet sind hingegen der Mailserver web.de und Seiten wie Yahoo und Flickr.
Auf einer speziellen Webseite können interessierte Nutzer nachsehen, welche Dienste gefährdet sind, und welche gar nicht erst mit OpenSSL verschlüsselt sind. Die gängigen Browser wie etwa Firefox sind nicht gefährdet, ebenso wenig der Outlook-Mailserver.
Was kann der Nutzer tun?
Nicht viel. Denn der Nutzer hat keinen Einfluss auf die Verschlüsselung der Webserver ihrer Anbieter. Die sind natürlich darauf bedacht, ihre Lücken schnell zu schließen. Webexperten empfehlen Internetnutzern, die gefährdeten Seiten erst mal nicht zu besuchen. Wenn es unumgänglich sei, solle man seine vertraulichen Daten zurückhalten. Währenddessen arbeiten Systemadministratoren der Webdienste emsig daran, die neuesten Software-Updates zu installieren. Wer ganz sicher gehen will, sollte sich an die Empfehlung der Blogging-Plattform Tumblr halten: "Dies ist ein guter Tag sich krankschreiben zu lassen und sich Zeit dafür zu nehmen, sämtliche Passwörter auszutauschen, vor allem die Zugangsdaten für Mails, Clouds und Onlinebanking."
Wie ernst die Sache wirklich ist, das können selbst Experten nicht sagen. Einig sind sich alle darüber, dass diese Lücke eine Katastrophe ist. Sie existiert schon seit zwei Jahren - und so können alle Daten, die über die SSL-Verschlüsselung liefen, in dieser Zeit abgefangen worden sein. Übrigens auch von der NSA, die gezielt nach solchen Schwachstellen sucht. Dass der US-Geheimdienst den Heartbleed-Bug allerdings beauftragt, hat, ist reine Phantasie: Die Ursache ist viel profaner: Ein deutscher Programmierer, der an der OpenSSL-Technik mitgearbeitet hat, hat sich jetzt zu Wort gemeldet. Ihm sei ledigilich ein Fehler unterlaufen: Er habe sich im Programmiercode vertan.