Geheimdienste von

NSA dementiert Ausnutzung
von Sicherheitslücke

"Heartbleed": Auch US-Regierung weist Bericht über frühere Entdeckung zurück

NSA © Bild: APA/EPA/ANDY RAIN

Der US-Geheimdienst NSA hat einen Medienbericht zurückgewiesen, wonach er schon seit Langem von der Internet-Sicherheitslücke "Heartbleed" gewusst hat und diese sogar zur Informationsbeschaffung ausnutzte. "Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese öffentlich gemacht wurde", erklärte NSA-Sprecherin Vanee Vines am Freitag.

Auch der Nationale Sicherheitsrat im Weißen Haus dementierte den Bericht. Der Bericht sei falsch, erklärte die Sprecherin des Sicherheitsrats, Caitlin Hayden. Wenn die US-Regierung die Schwachstelle vor der vergangenen Woche entdeckt hätte, wäre dies den Verantwortlichen für die Verschlüsselungssoftware mitgeteilt worden. "Diese Regierung nimmt ihre Verantwortung ernst, bei der Bewahrung eines offenen, voll kompatiblen, sicheren und vertrauenswürdigen Internets zu helfen", fügte Hayden hinzu.

Entdeckung der Lücke verschwiegen?

Die Finanznachrichtenagentur Bloomberg hatte unter Berufung auf zwei Informanten berichtet, der US-Geheimdienst habe die Entdeckung der Lücke verschwiegen und die Schwachstelle ausgenutzt, um Passwörter und andere wichtige Daten "zu stehlen". So sei "Heartbleed" Teil des "Werkzeugkastens" der NSA geworden.

"Heartbleed" (Herzbluten) wird inzwischen repariert. Die Lücke ermöglichte Angreifern den Zugriff auf begrenzte Teile des Arbeitsspeichers von Rechnern. OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Dateneingaben wie Passwörter zu verschlüsseln. Dazu gehören auch bekannte soziale Netzwerke. Schätzungen zufolge nutzen in etwa die Hälfte aller Websites weltweit OpenSSL.

SPD-Netzexperte fordert politische Konsequenzen

Der SPD-Netzexperte Lars Klingbeil forderte politische Konsequenzen aus der Sicherheitslücke. Das Leck reihe sich in mehrere Sicherheitslücken der jüngsten Vergangenheit ein und zeige "politischen Handlungsbedarf", sagte der netzpolitische Sprecher der SPD-Bundestagsfraktion der "Frankfurter Rundschau" vom Samstag. Die Politik müsse sich um die "Verbesserung von IT-Sicherheit, Aufklärung und Vorbeugung" bemühen.

Klingbeil forderte außerdem eine vor allem auch personelle Stärkung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Bürger müssten noch besser über die Sicherheitslücken informiert und aufgeklärt werden, sagte er der Zeitung.

Qualitätssicherung im Visier

Der netzpolitische Sprecher der Grünen, Konstantin von Notz, sagte hingegen der "FR", eine einzige Behörde könne unmöglich die Sicherheitskontrolle ganzer Quellcodes von Programmen wie Open-SSL übernehmen. Er forderte vielmehr eine Diskussion über die Qualitätssicherung bei solchen Standards.

Der deutsche Programmierer, der für die Sicherheitslücke verantwortlich ist, verwahrte sich gegen Vorwürfe aus der Netzgemeinschaft, er habe mit Absicht und womöglich gar im Auftrag von Geheimdiensten gehandelt. Er habe bei den Arbeiten an einer Version der Software ein Detail "übersehen", schrieb der Programmierer in einer E-Mail an "Spiegel Online". Der Fehler sei an sich "trivial", seine Auswirkungen seien aber "schwerwiegend".

Kommentare