Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Heartbleed-Lücke: Verantwortlicher erklärt seinen Fehler

A protester takes part in demonstration against NSA and in support of whistleblower Snowden in Frankfurt
(c) REUTERS (� Kai Pfaffenbach / Reuters)
  • Drucken

Robin Seggelmann hat 2011 einige Zeilen Code geschrieben und damit für das bisher größte Sicherheitsproblem im Internet gesorgt.

Steckt die NSA hinter dem größten Sicherheitsproblem im Internet? Ist die Lücke Heartbleed als terroristischer Akt einzustufen? Seit Tagen häufen sich Verschwörungstheorien um die Schwachstelle in der Verschlüsselungssoftware OpenSSL, die Angreifern Einblick in sämtliche Daten einer Website gewährt. Nun meldet sich jener Mann zu Wort, der für das Problem verantwortlich ist und zerstört damit jede Spekulation um einen besonders perfiden Plan: "Es war ein Versehen", sagt der deutsche Programmierer Robin Seggelmann in einem Interview mit der Sydney Morning Herald.

2011 habe er einige Zeilen Code für eine neue Funktion zu dem Open-Source-Software-Projekt OpenSSL hinzugefügt. Wie üblich musste er auf eine Freigabe des Codes durch andere Mitarbeiter des Projekts warten. Auch ihnen sei der kleine Fehler nicht aufgefallen und schließlich fand der neue Code Einzug in die veröffentliche Version, die ab Ende 2011 allen Webserver-Betreibern zur Verfügung stand. Erst vergangene Woche sind Sicherheitsexperten dem Fehler auf die Spur gekommen und am Dienstag platzte die Bombe: Der kleine Programmierfehler sorgt dafür, dass mit einfachen Codezeilen selbst Laien sämtliche Daten auf Websites lesen können, die immer als sicher galten. Dazu gehören Passwörter, Finanzdaten und sogar Inhalte von Nachrichten.

Auch Router in Gefahr

Und die Tragweite des Fehlers kann noch gar nicht genau eingeschätzt werden. Welche Daten wo genau abhanden gekommen sind, wissen wir einfach nicht, sagt Aaron Kaplan vom österreichischen IT-Sicherheits-Zentrum Cert. Potenziell sind mehr als zwei Drittel aller Websites weltweit betroffen - eben alle, die OpenSSL eingesetzt haben. Die Lücke ist mittlerweile geschlossen, aber in der Zwischenzeit könnten massenhaft Daten gelesen worden sein. Beunruhigend ist auch, dass dabei womöglich auch Schlüssel kopiert wurden, die auch zukünftige Kommunikation entschlüsseln könnten.

Mittlerweile ist bekannt geworden, dass auch Router für den Heimgebrauch und in Firmen betroffen sein könnten. Cisco und Juniper haben bereits Listen betroffener Geräte veröffentlicht. Sicher ist nur, wer OpenSSL nie eingesetzt hat, was etwa für Linksys-Router gilt. Alle anderen sollten dringend ein Update einspielen und danach ihre Passwörter ändern. 

>> Das Interview mit Robin Seggelmann

>> Betroffene Cisco-Router

>> Betroffene Juniper-Router

(sg)