"Heartbleed" von NSA ausgenutzt?

Der amerikanische Geheimdienst NSA hat nach Informationen der Finanznachrichtenagentur Bloomberg die jüngst öffentlich gewordene schwerwiegende Sicherheitslücke im Internet "Heartbleed" (Herzbluten) seit langem systematisch ausgenutzt. Diese Schwachstelle in der Verschlüsselungssoftware "OpenSSL" sei der NSA seit "mindestens zwei Jahren" bekannt gewesen, schreibt die Agentur unter Berufung auf zwei informierte Personen.

"Grundelement beim Abhören"

Die Geheimdienstler hätten die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt, berichtet Bloomberg weiter. Die Lücke sei dann zu einem Grundelement des "Werkzeugkastens" des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server. Die Exklusiv-Informationen von Bloomberg sind überlicherweise sehr fundiert.

Die auf den Namen "Heartbleed" getaufte Schwachstelle im Internet sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Da "OpenSSL" als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Webseiten betroffen. Mit Diensten der Internet-Giganten Facebook, Yahoo und Google geht es um potenziell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden.

Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein Versehen gewesen. Er habe beim Verbessern einer Funktion von "OpenSSL" schlicht ein Element vergessen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems.

US-Behörden weisen jede Schuld von sich

Knapp zwei Stunden nach Veröffentlichung der Bloomberg-Informationen - und damit ungewöhnlich schnell - kam das Dementi der amerikanischen Regierung und des Geheimdienstes. Die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, versicherte, Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der "Heartbleed"-Schwachstelle erfahren. Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware "OpenSSL", um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, ergänzte Hayden.

Schon nach Auftauchen des Problems war spekuliert worden, der US-Geheimdienst könnte seine Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hat. Sie forschte aktiv nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen.

Wenn der Geheimdienst eine Lücke von diesem Ausmaß gekannt und nichts dagegen unternommen hätte, wäre dies ein Skandal. Nicht nur er selbst hätte dann Passwörter und andere sensible Daten ausspähen können. Er hätte damit auch billigend in Kauf genommen, dass hunderte Millionen Nutzer schutzlos möglichen Angriffen von Online-Kriminellen ausgeliefert sind.

se/nis (rtre, dpa, ape, afp)