SPIEGEL ONLINE

SPIEGEL ONLINE

11. April 2014, 22:01 Uhr

Internet-Sicherheitslücke

NSA soll "Heartbleed"-Fehler systematisch ausgenutzt haben

"Heartbleed" ist eine der größten Sicherheitslücken in der Geschichte des Internets - und der US-Geheimdienst hat diesen Fehler angeblich ausgenutzt. Laut Nachrichtenagentur Bloomberg soll die NSA schon lange davon gewusst haben. Die US-Regierung dementiert.

New York - Der US-Geheimdienst NSA hat die schwere Internet-Sicherheitslücke "Heartbleed" angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit "mindestens zwei Jahren" bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen.

Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand - denn Heartbleed existiert seit etwa zwei Jahren. Die erst in dieser Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer Verschlüsselungen aushebeln und die vermeintlich geschützten Daten abgreifen können.

Die NSA hat die Lücke laut Bloomberg kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt. Sie sei dann zu einem Grundelement des "Werkzeugkastens" des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über Heartbleed hinterlassen keine Spuren auf dem Server.

Die US-Regierung hat den Vorwurf dementiert. Regierungsbehörden hätten erst im April durch einen Bericht von IT-Sicherheitsexperten von Heartbleed erfahren, erklärte eine Sprecherin des Nationalen Sicherheitsrates. In ihrem im Internet veröffentlichten Statement heißt es zudem: "Diese Regierung nimmt ihre Verantwortung ernst, ein offenes, sicheres und vertrauenswürdiges Internet zu erhalten." Es gebe ein nationales Interesse daran, eine solche Schwachstelle sofort nach der Entdeckung bekanntzugeben. Auch ein Sprecher des US-Geheimdienstes erklärte, die NSA habe von Heartbleed bis vor kurzem nichts gewusst.

Große Probleme beim Knacken von Verschlüsselungen

Sollte die NSA aber tatsächlich von dem Fehler über einen längeren Zeitraum gewusst haben, wäre das ein Skandal. Der Geheimdienst hätte dann in Kauf genommen, dass nicht nur er selbst Passwörter und andere sensible Informationen ausspähen konnte, sondern auch andere Geheimdienste und kriminelle Hacker.

Der Grund dafür ist vermutlich, dass Geheimdienste wie die NSA offenbar große Probleme damit haben, gute Verschlüsselung zu knacken. Davon gehen zumindest der ehemalige NSA-Mitarbeiter Edward Snowden und Kryptografie-Experten aus. Um dennoch verschlüsselte Daten lesen zu können, muss sich die NSA also andere Wege suchen.

Zum einen geht aus geheimen Dokumenten hervor, dass die NSA internationale Standards zur Verschlüsselung sabotiert hat: Die Algorithmen wurden absichtlich unsicher gemacht, damit sich die Verschlüsselung nachträglich einfacher knacken lässt. Außerdem setzt die NSA darauf, an sensible Informationen über Sicherheitslücken zu kommen - solche wie Heartbleed.

Man kann davon ausgehen, dass Geheimdienste weltweit Fehler in Software und Hardware sammeln, um sich Zugang zu Informationen zu beschaffen. Im Dezember veröffentlichte der SPIEGEL einen Katalog mit Hintertüren in verschiedenen Produkten bekannter Hersteller. Dabei handelt es sich um Netzwerk-Komponenten, die häufig zum Einsatz kommen.

Kritik an der NSA schon im Dezember

Schon damals wurde die NSA dafür kritisiert, ihre eigenen Interessen über die Sicherheit von Firmen und Menschen weltweit zu stellen. Experten warnten, Hacker und andere Geheimdienste könnten diese Lücken ebenso finden und ausnutzen - eine Geheimhaltung sei deshalb nicht verantwortungsvoll.

Bei der Heartbleed-Lücke geht es nicht nur um bestimmte Produkte, sondern um eine der wichtigsten Komponenten des Web. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt.

Wer von dieser gravierenden Sicherheitslücke wusste, konnte bis zu dieser Woche an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen. Seit Bekanntwerden der von einem Deutschen programmierten Sicherheitslücke werden Nutzer daher dazu aufgefordert, ihre Passwörter im Internet zu verändern, um einen Missbrauch der Daten zu verhindern.

mxw/ore/dpa/Reuters

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH