Internet-Sicherheitslücke Deutscher programmierte Heartbleed-Fehler
Sicherheitslücke Heartbleed: "Ich wäre jetzt nicht gern Robin S."
Mit Heartbleed ist vor einigen Tagen eine der gravierendsten Sicherheitslücken in der Geschichte des Internets ans Licht gekommen. Die Verschlüsselungsfunktion, auf die sich Millionen Netznutzer Tag für Tag verlassen, wenn sie etwa ihr Passwort eingeben oder mit ihrer Kreditkarte im Netz bezahlen, ist in vielen Fällen nicht sicher.
Unter anderem waren Dienste wie Yahoo oder Google, Facebook oder Dropbox, Tumblr oder Web.de von der Lücke betroffen. Nutzer dieser Dienste sollten schleunigst ihr Passwort ändern, auch wenn das Leck bei vielen Diensten mittlerweile gestopft wurde. Niemand weiß, welche Daten von welchen Servern tatsächlich dank Heartbleed gestohlen worden sind, und es wird sich wohl auch nie herausfinden lassen.
Jede Sicherheitslücke hat einen Grund und einen Verursacher. Nur wird der in der Regel nicht genannt. Wenn eine Lücke ans Licht kommt, die, sagen wir einmal, Microsoft zu verantworten hat, muss das Unternehmen dafür öffentlich geradestehen, nicht aber der Angestellte, der den fehlerhaften Code einst geschrieben, und auch nicht derjenige, der ihn abgesegnet hat. Bei Heartbleed ist das anders. Den Heartbleed-Code hat ein Deutscher geschrieben, dessen Name nun bereits durchs Netz geistert.
Heartbleed betrifft OpenSSL. Dabei handelt es sich um eine Open-Source-Software: Der Code ist öffentlich einsehbar und auch auf Fehler durchsuchbar. Und auch wer ihn geschrieben hat, ist für jeden ersichtlich - gesetzt den Fall, man weiß, wo man suchen muss. Für manche war damit die Hetzjagd eröffnet.
Absicht oder nicht?
Zunächst wurde der Name auf Twitter verbreitet, vereinzelte Tweets verlinkten auf den fraglichen Code, kombiniert mit Sätzen wie: "Ich wäre jetzt nicht gern Robin S."*
Richtig Fahrt nahm die Geschichte in der Szene auf, als der bloggende Hacker Felix von Leitner den - zu diesem Zeitpunkt längst öffentlich auffindbaren - Namen des Mannes und auch dessen gegenwärtigen Arbeitgeber nannte. Und die Vermutung nahelegte, es könnte sich bei dem Programmierfehler auch um eine gegen Bezahlung absichtlich eingebaute Hintertür handeln: "Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen." Und weiter: "Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor." In einem Beitrag für die "Frankfurter Allgemeine Zeitung" formulierte von Leitner es vorsichtiger: "In Zeiten des Spähskandals liegt bei einem solchen Vorkommnis die Frage nahe, ob es sich um eine von den Geheimdiensten herbeigeführte Sabotage-Aktion handelt." Den Unterschied zwischen einer absichtlichen Manipulation und einem unabsichtlichen Programmierfehler zu beweisen, ist oft kaum möglich.
Der öffentlich so verdächtigte Robin S. schreibt SPIEGEL ONLINE in einer E-Mail eine andere Version der Geschichte: "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen."
"Der Fehler an sich ist ziemlich trivial"
Zu Deutsch: S. erklärt das Ganze als ein Versehen, das bei einem kleinen Teil der Programmierarbeit passiert ist. Ein Fehler, wie ihn Menschen bei der Arbeit nun einmal machen. Software-Code in Open-Source-Projekten muss von jemandem abgenommen werden, bevor er in tatsächlich eingesetzte Versionen integriert wird. Aber auch demjenigen aus dem OpenSSL-Team, der den Code geprüft habe, sei der Fehler nicht aufgefallen, so S. "Der Fehler an sich ist ziemlich trivial", schreibt er, "nur in seinem Kontext ermöglicht er das Auslesen von eigentlich sicheren Daten (da eben die Länge des zu lesenden Speichers nicht geprüft wird). Das ist was ihn so schwerwiegend macht."
Gerade Open-Source-Software gilt vielen als besonders sicher, weil der Code öffentlich ist und ja im Zweifel von vielen kontrolliert werden kann - anders als geschlossene Systeme, in denen etwa nur die Herstellerfirma selbst den Code einsehen kann. Etwaige Hintertüren werden in Open-Source-Software schneller gefunden, weil ja einfach jeder nachsehen könnte, ob es welche gibt - soweit die Theorie.
Doch die Sicherheitslücke Heartbleed existiert bereits seit zwei Jahren, ohne dass sie jemand entdeckt hat. Allein dadurch, dass Code öffentlich ist, wird er offenkundig nicht sicherer. Und Fehler passieren überall - ob absichtlich oder nicht.
Gefunden haben den Fehler nun ein Google-Forscher und eine Sicherheitsfirma. Bleibt die Frage, wie solche kapitalen Lücken in der grundlegenden Sicherheitsarchitektur des gesamten Internets künftig vor vorneherein vermieden werden können.
*Name von der Redaktion gekürzt.
