Heartbleed-Lücke: Verantwortlicher erklärt seinen Fehler

A protester takes part in demonstration against NSA and in support of whistleblower Snowden in Frankfurt
A protester takes part in demonstration against NSA and in support of whistleblower Snowden in Frankfurt(c) REUTERS (� Kai Pfaffenbach / Reuters)
  • Drucken

Robin Seggelmann hat 2011 einige Zeilen Code geschrieben und damit für das bisher größte Sicherheitsproblem im Internet gesorgt.

Steckt die NSA hinter dem größten Sicherheitsproblem im Internet? Ist die Lücke Heartbleed als terroristischer Akt einzustufen? Seit Tagen häufen sich Verschwörungstheorien um die Schwachstelle in der Verschlüsselungssoftware OpenSSL, die Angreifern Einblick in sämtliche Daten einer Website gewährt. Nun meldet sich jener Mann zu Wort, der für das Problem verantwortlich ist und zerstört damit jede Spekulation um einen besonders perfiden Plan: "Es war ein Versehen", sagt der deutsche Programmierer Robin Seggelmann in einem Interview mit der Sydney Morning Herald.

2011 habe er einige Zeilen Code für eine neue Funktion zu dem Open-Source-Software-Projekt OpenSSL hinzugefügt. Wie üblich musste er auf eine Freigabe des Codes durch andere Mitarbeiter des Projekts warten. Auch ihnen sei der kleine Fehler nicht aufgefallen und schließlich fand der neue Code Einzug in die veröffentliche Version, die ab Ende 2011 allen Webserver-Betreibern zur Verfügung stand. Erst vergangene Woche sind Sicherheitsexperten dem Fehler auf die Spur gekommen und am Dienstag platzte die Bombe: Der kleine Programmierfehler sorgt dafür, dass mit einfachen Codezeilen selbst Laien sämtliche Daten auf Websites lesen können, die immer als sicher galten. Dazu gehören Passwörter, Finanzdaten und sogar Inhalte von Nachrichten.

Auch Router in Gefahr

Und die Tragweite des Fehlers kann noch gar nicht genau eingeschätzt werden. Welche Daten wo genau abhanden gekommen sind, wissen wir einfach nicht, sagt Aaron Kaplan vom österreichischen IT-Sicherheits-Zentrum Cert. Potenziell sind mehr als zwei Drittel aller Websites weltweit betroffen - eben alle, die OpenSSL eingesetzt haben. Die Lücke ist mittlerweile geschlossen, aber in der Zwischenzeit könnten massenhaft Daten gelesen worden sein. Beunruhigend ist auch, dass dabei womöglich auch Schlüssel kopiert wurden, die auch zukünftige Kommunikation entschlüsseln könnten.

Mittlerweile ist bekannt geworden, dass auch Router für den Heimgebrauch und in Firmen betroffen sein könnten. Cisco und Juniper haben bereits Listen betroffener Geräte veröffentlicht. Sicher ist nur, wer OpenSSL nie eingesetzt hat, was etwa für Linksys-Router gilt. Alle anderen sollten dringend ein Update einspielen und danach ihre Passwörter ändern. 

>> Das Interview mit Robin Seggelmann

>> Betroffene Cisco-Router

>> Betroffene Juniper-Router

(sg)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren

Internet

Datenleck: Passwort ändern nützt oft nichts

Noch immer haben nicht alle betroffenen Serverbetreiber den Softwarefehler Heartbleed behoben. Wenn durch solche Schlamperei Schäden entstehen, haftet der Betreiber.
The word ´password´ is pictured on a computer screen in this picture illustration taken in Berlin
Internet

Heartbleed: Noch tausende österreichische Webserver betroffen

Gerade viele öffentlichen Einrichtungen dürften die massive Sicherheitslücke noch nicht behoben haben, kritisiert die Arge Daten.
Nutzte der US-Geheimdienst "Heartbleed" aus?
Internet

Nutzte der US-Geheimdienst "Heartbleed" aus?

Die NSA wisse seit mindestens zwei Jahren von der Sicherheitslücke im Internet, berichtet eine Nachrichtenagentur. Die USA dementieren.
International

Zwei Jahre stand das Internet "weit offen"

Eine schwere Sicherheitslücke macht das Ausspionieren von Daten im Internet zum Kinderspiel.
Sicherheitslücke "Heartbleed" reißt weiter auf
Internet

Sicherheitslücke "Heartbleed" reißt weiter auf

Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.