US-Geheimdienst dementiert Ausnutzen von "Heartbleed"-Lücke

Die erst in der vergangenen Woche publik gewordene "Heartbleed"-Lücke sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und so vermeintlich geschützte Daten abgreifen können. Es ist eine der gravierendsten Sicherheitslücken in der Internet-Geschichte. Da OpenSSL als Verschlüsselungsprogramm weit verbreitet ist, waren mehrere Hunderttausend Websites betroffen.

Selbst erst im April von der Lücke erfahren

Die Behörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der Lücke erfahren, sagte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag (Ortszeit). Die US-Regierung verlasse sich selbst auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.

Deutliches Dementi der Regierung

Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei Personen geschrieben, die Lücke sei der NSA seit "mindestens zwei Jahren" bekanntgewesen. Unter anderem seien darüber Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung fiel diesmal aber deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Unter bestimmten Umständen Ausnutzen erlaubt

Allerdings habe US-Präsident Barack Obama der National Security Agency (NSA) zugestanden, Sicherheitslücken im Internet unter gewissen Umständen zu verschweigen und auszunutzen, berichtete die "New York Times" am Sonntag online unter Berufung auf hochrangige Regierungsvertreter. Dies sei aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung gerechtfertigt.

Deutscher Programmierer verursachte Lücke

Im konkreten Fall könnten Millionen Nutzer, die Dienste der Internet-Giganten Yahoo und Google nutzen, zu möglichen Angriffszielen werden. Zudem fand sich der Fehler in weit verbreiteter Netzwerk-Technik von Cisco und Juniper. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server. Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen.

NSA hatte Verschlüsselung im Internet im Visier

Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Hätte der Geheimdienst eine Lücke dieses Ausmaßes gekannt und nichts unternommen, hätte er damit Hunderte Millionen Nutzer potenziellen Angriffen von online-Kriminellen ausgeliefert.

Jeder kann Software-Code weiterentwickeln

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden. Der Fehler findet sich in einer Funktion namens "Heartbeat", Herzschlag. Die Schwachstelle wurde in Anlehnung daran "Heartbleed" genannt.