Heartbleed-Bug war "nur ein Fehler"

Es war wohl doch nur ein Fehler. Der deutsche Programmierer hinter der gewaltigen Sicherheitslücke "Heartbleed" setzte sich gegen Vorwürfe zur Wehr, er habe den fehlerhaften Code im Auftrag von Geheimdiensten geschrieben. In Interviews beteuerte der Informatiker, dass es nur ein ungewollter Fehler gewesen sei.

Er habe sich beim Verbessern der offenen Verschlüsselungssoftware OpenSSL im Programmiercode vertan, sagte der Mann mehreren Medien.

Die Auswirkungen waren allerdings deutlich größer: Auch die Netzwerk-Ausrüster Cisco und Juniper entdeckten die Lücke in ihrer Technik. OpenSSL wird von hunderttausenden Websites eingesetzt, auch Internet-Riesen wie Google und Yahoo waren von der Lücke betroffen.

Längenprüfung wurde übersehen

Open SSL ist eine offene Software: Jeder kann den Programmiercode einsehen und weiterentwickeln. Da Änderungen dokumentiert werden, war es nur eine Frage der Zeit, bis entdeckt wurde, wer den fehlerhaften Software-Code vor rund zwei Jahren geschrieben und wer ihn abgesegnet hatte.

"Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", erklärte der Programmierer aus Deutschland er in einer E-Mail an "Spiegel Online". Der Fehler an sich sei ziemlich trivial gewesen. Auch ein Prüfer aus Großbritannien habe den gravierenden Bug übersehen.

Bug oder Backdoor?

Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekanntgeworden, dass die NSA die Verschlüsselung ins Visier genommen habe.

In einigen Internet-Foren wird der Programmierer aber auch beschuldigt, mit Absicht gehandelt zu haben. Der deutsche Blogger Felix von Leitner warf ihm indirekt vor, im Auftrag Dritter gehandelt zu haben. Sollte ihn jemand dafür bezahlen, eine harmlos aussehende "Hintertür" für den heimlichen Zugriff in OpenSSL einzubauen, wäre das Ergebnis exakt das nun Festgestellte, schrieb er in seinem Blog.

Hacker können an gesicherte Daten herankommen

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. Durch die Lücke mit der Bezeichnung "Heartbleed" können Angreifer die Verschlüsselung aushebeln und an die vermeintlich gesicherten Daten herankommen. Da sie auch die Schlüssel erbeuten können, wären alle möglichen Informationen betroffen. Internet-Experten raten den Nutzern, ihre Passwörter zu ändern.

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat". Die Schwachstelle wurde deswegen "Heartbleed" genannt.

mm/ml (dpa, afp)