In Ausnahmefällen dürfen Sicherheitslücken nun doch ausgenutzt werden.

© APA/EPA/OLIVER BERG

Heartbleed
04/13/2014

US-Regierung: NSA darf Sicherheitslücken nutzen

US-Präsident Barack Obama hat dem Geheimdienst NSA zugestanden, Sicherheitslücken im Internet unter gewissen Umständen verschweigen und ausnutzen zu dürfen.

Dies sei aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung gerechtfertigt, berichtete die „New York Times“ am Sonntag online unter Berufung auf hochrangige Regierungsvertreter.

Die Entscheidung Obamas, die er im Jänner diesen Jahres gefällt haben soll, wurde vom Weißen Haus nie öffentlich gemacht.

Washington hatte Ende vergangener Woche einen Medienbericht dementiert, wonach die NSA die vergangene Woche öffentlich gewordene „Heartbleed“-Sicherheitslücke seit langem gekannt und ausgenutzt habe. Hätten US-Behörden die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, teilte eine Sprecherin des Nationalen Sicherheitsrates mit.

Ausnahmen möglich

Nun aber sagte Caitlin Hayden, Sprecherin des Nationalen Sicherheitsrates der US-Regierung, gegenüber der "New York Times", dass Behörden zwar Verantwortung und Sicherheit höher als mögliche nachrichtendienstliche Vorteile einstufen sollen, es freilich aber Ausnahmen gebe. Wenn die Ausnutzung einer Lücke eindeutig für Zwecke der nationalen Sicherheit oder Strafverfolgung benötigt wird, dürfen sich Behörden über die allgemeine Regel hinwegsetzen.

Die Schwachstelle ist eine der gravierendsten Sicherheitslücken der Internet-Geschichte. Wenn der Geheimdienst eine Lücke von diesem Ausmaß gekannt und nichts gegen sie unternommen hätte, würde er damit Hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte aktiv nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen.

OpenSSL und die Heartbleed-Lücke

OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich daran. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden. Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt.

OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Schwachstelle findet sich in einer Funktion, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Da der deutsche Programmierer eine sogenannte Längenprüfung vergessen hatte, konnten bei eigentlich harmlosen Verbindungs-Abfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Die Funktion heißt „Heartbeat“, Herzschlag. Die Schwachstelle wurde in Anlehnung daran „Heartbleed“ genannt.