Der US-Geheimdienst NSA hat die jüngst öffentlich gewordene Sicherheitslücke im Internet laut einem Medienbericht seit langem systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit «mindestens zwei Jahren» bekannt gewesen.

Das schrieb die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen. Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand.

Die erst diese Woche öffentlich gewordene Schwachstelle bei der Sicherheitssoftware OpenSSL, die auf den Namen «Heartbleed» getauft wurde, sorgt dafür, dass Angreifer Verschlüsselung aushebeln und die vermeintlich geschützten Daten abgreifen können.

US-Regierung weist Bericht zurück

Die US-Regierung hat mit überraschender Deutlichkeit den Medienbericht dementiert. Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der «Heartbleed»-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie weiter. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert.

Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung kam diesmal allerdings keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Programmierer weist Vorwürfe zurück

Der deutsche Programmierer, der für die Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL verantwortlich ist, hat sich derweil gegen Spekulationen über böswillige Motive verwahrt. Er habe bei den Arbeiten an einer Version der Software ein Detail «übersehen», teilte dieser «Spiegel Online» in einer E-Mail mit, wie das Portal am Donnerstagabend berichtete.

Der Fehler sei an sich «trivial», seine Auswirkungen aber «schwerwiegend». Zuvor hatte der Programmierer schon der australischen Zeitung «Sydney Morning Herald» dargelegt, der Fehler sei ihm «unglücklicherweise» unterlaufen. «Es war überhaupt nicht beabsichtigt», zitierte das Blatt den Experten. Dieser wehrt sich mit seinen Stellungnahmen gegen Spekulationen von Internetnutzern. Diese werfen ihm vor, er habe absichtlich eine sogenannte Hintertür eingebaut, um Daten von Nutzern auszulesen. Teils wird dem Mann indirekt Nähe zu Geheimdiensten unterstellt.

Von Freiwilligen programmiert

Die Sicherheitslücke mit der Bezeichnung «Heartbleed» (Herzbluten) war vor einigen Tagen bekannt geworden, wird inzwischen aber geschlossen. Sie ermöglichte Angreifern den Zugriff auf sehr begrenzte Teile des Arbeitsspeichers von Rechnern, die bestimmte frühere OpenSSL-Versionen verwenden. OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Dateneingaben wie Passwörter beim Internet-Transfer zu verschlüsseln. Dazu gehören auch bekannte soziale Netzwerke. Schätzungen zufolge nutzen in etwa die Hälfte aller Websites weltweit OpenSSL.

Unter den im Arbeitsspeicher abgelegten Daten können sich unter anderem auch höchst sensible Informationen befinden, die sich etwa für weitere Angriffe auf den Kommunikationsverkehr des Rechners nutzen lassen. Zwar erlaubt die Sicherheitslücke Angreifern pro Versuch nur das zufällige Auslesen kleiner Datenschnipsel. Die Folgen könnten im Zweifelsfall aber verheerend sein. Ausserdem sind unendlich viele Angriffe möglich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Sicherheitslücke als «kritisch» ein.

OpenSSL ist eine sogenannte Open-Source-Software. Sie wird nicht von einem Unternehmen angeboten, sondern von Freiwilligen programmiert, die sich kostenlos an dem Projekt beteiligten. Zu diesen gehörte auch der nun in den Fokus gerückte deutsche Computerspezialist.

Im Auftrag Dritter?

Im Internet und in Fachkreisen ist der Mann schweren Vorwürfen ausgesetzt. Der deutsche Blogger und Hacker Felix von Leitner warf ihm indirekt vor, im Auftrag Dritter gehandelt zu haben. Sollte ihn jemand dafür bezahlen, eine harmlos aussehende «Hintertür» für den heimlichen Zugriff in OpenSSL einzubauen, wäre das Ergebnis exakt das nun Festgestellte, schrieb er in seinem eigenen Blog: «Genau so würde die aussehen.»

Andere Experten bewerten die Angelegenheit allerdings zurückhaltender. Natürlich sei es die zentrale Frage, ob der Fehler absichtlich eingebaut worden sei oder nicht, schrieb der renommierte US-Sicherheitsfachmann Bruce Schneier in seinem Blog. Er selbst tippe auf ein «Missgeschick». «Aber einen Beweis habe ich nicht.»

SDA/mrs/chk