Internet-Sicherheitslücke: NSA soll "Heartbleed"-Fehler systematisch ausgenutzt haben

NSA-Hauptquartier in Fort Meade: Geheimdienst hat offenbar Heartbleed genutzt Zur Großansicht
REUTERS

NSA-Hauptquartier in Fort Meade: Geheimdienst hat offenbar Heartbleed genutzt

"Heartbleed" ist eine der größten Sicherheitslücken in der Geschichte des Internets - und der US-Geheimdienst hat diesen Fehler angeblich ausgenutzt. Laut Nachrichtenagentur Bloomberg soll die NSA schon lange davon gewusst haben. Die US-Regierung dementiert.

New York - Der US-Geheimdienst NSA hat die schwere Internet-Sicherheitslücke "Heartbleed" angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit "mindestens zwei Jahren" bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen.

Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand - denn Heartbleed existiert seit etwa zwei Jahren. Die erst in dieser Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer Verschlüsselungen aushebeln und die vermeintlich geschützten Daten abgreifen können.

Die NSA hat die Lücke laut Bloomberg kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt. Sie sei dann zu einem Grundelement des "Werkzeugkastens" des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über Heartbleed hinterlassen keine Spuren auf dem Server.

Die US-Regierung hat den Vorwurf dementiert. Regierungsbehörden hätten erst im April durch einen Bericht von IT-Sicherheitsexperten von Heartbleed erfahren, erklärte eine Sprecherin des Nationalen Sicherheitsrates. In ihrem im Internet veröffentlichten Statement heißt es zudem: "Diese Regierung nimmt ihre Verantwortung ernst, ein offenes, sicheres und vertrauenswürdiges Internet zu erhalten." Es gebe ein nationales Interesse daran, eine solche Schwachstelle sofort nach der Entdeckung bekanntzugeben. Auch ein Sprecher des US-Geheimdienstes erklärte, die NSA habe von Heartbleed bis vor kurzem nichts gewusst.

Große Probleme beim Knacken von Verschlüsselungen

Sollte die NSA aber tatsächlich von dem Fehler über einen längeren Zeitraum gewusst haben, wäre das ein Skandal. Der Geheimdienst hätte dann in Kauf genommen, dass nicht nur er selbst Passwörter und andere sensible Informationen ausspähen konnte, sondern auch andere Geheimdienste und kriminelle Hacker.

Der Grund dafür ist vermutlich, dass Geheimdienste wie die NSA offenbar große Probleme damit haben, gute Verschlüsselung zu knacken. Davon gehen zumindest der ehemalige NSA-Mitarbeiter Edward Snowden und Kryptografie-Experten aus. Um dennoch verschlüsselte Daten lesen zu können, muss sich die NSA also andere Wege suchen.

Zum einen geht aus geheimen Dokumenten hervor, dass die NSA internationale Standards zur Verschlüsselung sabotiert hat: Die Algorithmen wurden absichtlich unsicher gemacht, damit sich die Verschlüsselung nachträglich einfacher knacken lässt. Außerdem setzt die NSA darauf, an sensible Informationen über Sicherheitslücken zu kommen - solche wie Heartbleed.

Man kann davon ausgehen, dass Geheimdienste weltweit Fehler in Software und Hardware sammeln, um sich Zugang zu Informationen zu beschaffen. Im Dezember veröffentlichte der SPIEGEL einen Katalog mit Hintertüren in verschiedenen Produkten bekannter Hersteller. Dabei handelt es sich um Netzwerk-Komponenten, die häufig zum Einsatz kommen.

Kritik an der NSA schon im Dezember

Schon damals wurde die NSA dafür kritisiert, ihre eigenen Interessen über die Sicherheit von Firmen und Menschen weltweit zu stellen. Experten warnten, Hacker und andere Geheimdienste könnten diese Lücken ebenso finden und ausnutzen - eine Geheimhaltung sei deshalb nicht verantwortungsvoll.

Bei der Heartbleed-Lücke geht es nicht nur um bestimmte Produkte, sondern um eine der wichtigsten Komponenten des Web. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt.

Wer von dieser gravierenden Sicherheitslücke wusste, konnte bis zu dieser Woche an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen. Seit Bekanntwerden der von einem Deutschen programmierten Sicherheitslücke werden Nutzer daher dazu aufgefordert, ihre Passwörter im Internet zu verändern, um einen Missbrauch der Daten zu verhindern.

mxw/ore/dpa/Reuters

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 134 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. alles klar
Marut 11.04.2014
Die NSA outet sich über die Wahl ihrer Mittel - sie steht auf der Seite von Kriminellen. Man muß es sich mal vorstellen: die wissen seit ca. 2 Jahren von der Gefahr und sagen keinen Ton. Sie lassen die Gefährdung aller Internet-Nutzer einfach bestehen, nur um ihre kriminelle Datenüberwachung ungestört betreiben zu können. Sie lassen also eine kriminelle Gefahr bewußt bestehen, obwohl sie doch ihr ganzes Handeln damit rechtfertigen, dass sie ja alles nur zu unserem Schutz machen - guter Witz. Entlarvt.
2. Wieso kümmert es keine Sau..
topsykrett 11.04.2014
Wieso kümmert es keine Sau, dass die NSA unter dem Deckmantel der Terrorismusbekämpfung die Passwörter, Login- und möglicherweise Kreditkartendaten von uns allen grundlos abzockt? Ich verstehe unsere Welt nicht mehr. In 10 Jahren, wenn alles datenschutzmäßig den Bach runter ging, werden wir uns fragen wie es so weit kommen konnte. Ganz einfach: Weil es heut zu Tage niemanden - und schon gar nicht die Politik - interessiert, was da ab geht..
3. Eigentor
gps71 11.04.2014
Da davon auszugehen ist, dass die betroffenen OpenSSL-Versionen auch in kritischen Einrichtungen der USA eingesetzt wurden (z.B. Banken, Atomkraftwerke, Militär, Regierungsserver), hat die NSA mit dem Verschweigen des Problems die Sicherheit der USA aufs Spiel gesetzt. Letztlich ist dieser Fehler ein Einfallstor, das auch von Terroristen und anderen üblen Kreisen entdeckt und ausgenutzt werden kann. Lasst uns mal hoffen, dass dieser Aspekt in der öffentlichen US-Diskussion aufgegriffen wird, und die NSA gehörig einen auf den Deckel kriegt!
4. 345678
Das Pferd 11.04.2014
Ist ja irgendwie komisch. In den ganzen Snowden-Geschichten tauch eine Kompromittierung von OpenSSL nicht auf. Nun findet jemand die Lücke, OK, über Lücken die keiner findet muß man ja nicht nachdenken, und prompt steht in der Zeitung, daß das schon seit zwei Jahren bekannt ist. Warum reden die zwei "Insider" jetzt? Wenn Sie eine Geheimhaltungspflicht haben, ist die Information, das die NSA die Lücke benutzte auch nach Entdeckung der Lücke noch Geheimnisverrat. Und wenn nicht, wäre eine Information, zumindest an eine Sicherheitsfirma oder den CCC oder sonstwen, angezeigt gewesen. Ich glaube auch hier nicht an eine Verschwörung, aber das Ganze erscheint mir merkwürdig.
5. Die alte Frage
flying_dutchman 11.04.2014
Also sollte die Frage wieder gestellt werden, ob die NSA den Programmierer bezahlt hat, der die Lücke programmiert hat.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Heartbleed-Sicherheitslücke
RSS

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 134 Kommentare

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.