Festnahme in Kanada 19-Jähriger kam durch "Heartbleed" an Steuerdaten

Fahnder sind erstmals einem Hacker auf die Spur gekommen, der die Sicherheitslücke "Heartbleed" aktiv ausgenutzt hat. Der 19-jährige Kanadier soll so an die Steuerdaten von 900 Landsleuten gekommen sein.

Heartbleed-Logo: Teenager nutzte Sicherheitslücke aus

Heartbleed-Logo: Teenager nutzte Sicherheitslücke aus


Wie die kanadische Polizei am Mittwoch mitteilte, wurde ein 19 Jahre alter Hacker festgenommen, dem vorgeworfen wird, die Heartbleed-Sicherheitslücke ausgenutzt zu haben. Der junge Mann soll die Webseite der kanadischen Steuerverwaltung CRA gehackt und sich Zugang zu den Steuerdaten von 900 kanadischen Bürgern verschafft haben.

Wie Reuters berichtet, handelt es sich dabei um den wohl ersten bekannt gewordenen Fall, in dem die Lücke in der OpenSSL-Verschlüsselung ausgenutzt worden ist. Die Schwachstelle ist seit voriger Woche bekannt.

Die Fahnder trafen den Verdächtigen zu Hause an und beschlagnahmten seine Computerausstattung. Vor Gericht muss sich der junge Mann ab dem 17. Juli wegen unbefugter Computernutzung und Datenmissbrauchs verantworten. Die kanadischen Gesetze belegen derartige Straftaten mit bis zu zehn Jahren Gefängnis.

Die Behörden werfen dem Beschuldigten vor, dass er "Heartbleed" ausgenutzt habe, um "private, im Besitz der CRA befindliche Informationen zu erlangen". Wie die BBC berichtet, hatten die Verantwortlichen sofort nach dem Bekanntwerden der Sicherheitslücke ihre Onlinedienste deaktiviert, doch offensichtlich kam die Maßnahme zu spät.

Der aktuelle Fall dürfte nicht der letzte gewesen sein. Sicherheitsexperten wurden mit der Warnung zitiert, dass weitere Attacken folgen könnten, solange Behörden und private Unternehmen immer noch damit beschäftigt seien festzustellen, ob ihre System überhaupt betroffen seien.

In Deutschland warnte das Bundesamt für Sicherheit in der Informationstechnik am Mittwoch, dass die Lücke noch nicht überall geschlossen sei - und Angreifer nun gezielt nach solchen Diensten suchen würden, um an sensible Daten zu gelangen.

meu



insgesamt 20 Beiträge
Alle Kommentare öffnen
Seite 1
guteronkel 17.04.2014
1. optional
Hat man den diejenigen auch zur Verantwortung gezogen, die die Lücke geschaffen haben? In Deutschland sehe ich da in naher Zukunft nicht die Gefahr, dass jemand verurteilt-bzw. überhaupt angeklagt wird- da in Deutschland die Behörden selbst die größten Nutznießer solcher Sicherheitslücken sind. Man wird doch nicht den Ast absägen, auf dem man sitzt.
hansgustor 17.04.2014
2. Nö
Zitat von guteronkelHat man den diejenigen auch zur Verantwortung gezogen, die die Lücke geschaffen haben? In Deutschland sehe ich da in naher Zukunft nicht die Gefahr, dass jemand verurteilt-bzw. überhaupt angeklagt wird- da in Deutschland die Behörden selbst die größten Nutznießer solcher Sicherheitslücken sind. Man wird doch nicht den Ast absägen, auf dem man sitzt.
Nein. Warum sollte man jemanden der seine Arbeitsleistung zum Wohle der Gemeinschaft ohne Gegenleistung bereitstellt wegen einer kleinen Unachtsamkeit verurteilen?
Mindbender 17.04.2014
3. ...
Zitat von guteronkelHat man den diejenigen auch zur Verantwortung gezogen, die die Lücke geschaffen haben? In Deutschland sehe ich da in naher Zukunft nicht die Gefahr, dass jemand verurteilt-bzw. überhaupt angeklagt wird- da in Deutschland die Behörden selbst die größten Nutznießer solcher Sicherheitslücken sind. Man wird doch nicht den Ast absägen, auf dem man sitzt.
"Lücke geschaffen haben"? Denken Sie, das sei mutwillig geschehen? Welche deutschen Behörden sind Nutznießer vom Heartbleed Bug? Sie fabulieren...
Delago 17.04.2014
4. So ein Schmarrn!
Zitat von guteronkelHat man den diejenigen auch zur Verantwortung gezogen, die die Lücke geschaffen haben? In Deutschland sehe ich da in naher Zukunft nicht die Gefahr, dass jemand verurteilt-bzw. überhaupt angeklagt wird- da in Deutschland die Behörden selbst die größten Nutznießer solcher Sicherheitslücken sind. Man wird doch nicht den Ast absägen, auf dem man sitzt.
Es ist nicht möglich, bei komplexer Software die 100%ige Fehlerfreiheit zu GARANTIEREN. Wenn man Softwarefehler mit 100%iger Sicherheit ausschließen wollte, müsste man überhaupt aufhören, Software zu schreiben. Dann könnten Sie diesen Artikel gar nicht lesen und könnten auch keine solchen Kommentare abgeben.
7eggert 17.04.2014
5. Quasi-öffentliche, unveränderliche Informationen als Geheimnis
Das Problem sollen ja auch die Sozialversicherungsnummern sein, die von Banken als hinreichender Identitätsnachweis genutzt werden. Wenn aber diese Daten bei genügend Leuten liegen, dann müssen sie eigentlich als öffentlich bekannt gelten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.