Lieber User,

anscheinend hast Du einen Ad-Blocker aktiviert oder Javaskript deaktiviert. Um unsere Existenz zu sichern, sind wir als werbefinanzierter privater Radiosender auch im Internet auf Werbung angewiesen. Damit Du auch weiterhin alle Inhalte unserer Webseite nutzen kannst, bitten wir dich, Deinen Ad-Blocker zu deaktivieren oder radiohamburg.de als Ausnahme hinzuzufügen. Sobald Du das gemacht hast, kannst Du unsere Inhalte nach einem Reload der Seite ganz normal weiternutzen.

103.6 Grüße
Dein Radio Hamburg Team


*Sollte diese Meldung fälschlicherweise angezeigt werden, schicke uns bitte eine Mail an adblocker@radiohamburg.de

Es gibt neue Inhalte auf unserer Startseite - jetzt aktualisieren! [Schließen]
Radio Hamburg

OpenSSL-Sicherheitslücke

"Heartbleed" wurde von Deutschem programmiert

Berlin, 11.04.2014
Handy, Hacker, Daten, Sicherheit

Die Sicherheitslücke "Heartbleed" bei der OpenSSL-Verschlüsselung macht den Diebstahl von Passwörtern möglich.

Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben.

Nach Auftauchen der Riesen-Sicherheitslücke im Netz wurde spekuliert, die NSA könnte dahinterstecken. Der deutsche Programmierer, der den Software-Code schrieb, sagt jetzt, es sei ein trivialer Fehler gewesen. Unterdessen wird das gewaltige Ausmaß des Problems deutlich.

Prgrammierer: Fehler ist "ziemlich trivial"

Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann. "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", erklärte er in einer E-Mail an "Spiegel Online". Der Fehler an sich sei "ziemlich trivial". Ähnlich äußerte er sich im "Sydney Morning Herald" am Donnerstag (10.04).

Lücke "Heartbleed" schon zwei Jahre alt

Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekanntgeworden, dass die NSA die Verschlüsselung ins Visier genommen habe. Der fehlerhafte Code in OpenSSL bestand seit rund zwei Jahren. Durch die Lücke mit der Bezeichnung "Heartbleed" können Angreifer die Verschlüsselung aushebeln und an die vermeintlich gesicherten Daten herankommen. Hunderttausende Websites waren betroffen. Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen. Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play mit Updates sicher gemacht worden seien. Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen.

Heartbleed macht Passwort-Diebstahl möglich

Die SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen - zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln. Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des
 Internetriesen Yahoo.

Andere große Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.

"Schlimmste Schwachstelle" seit Internetverbreitung

"Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein", sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem "Wall Street Journal". Der bekannte Internet-Sicherheitsexperte Bruce Schneier schrieb: "Auf einer Skala von 1 bis 10 ist es eine 11." Ein Netzwerk-Experte sagte dem Technologieblog "Ars Technica", er habe in alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle bereits im November 2013 auszunutzen.

Aus "Heartbeat" wird "Heartbleed"

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat", Herzschlag. Die Schwachstelle wurde deswegen "Heartbleed" genannt.

Sicherheitslücke sollte eigentlich im Geheimen repariert werden

Die Deutsche Kreditwirtschaft (DK), die Dachorganisation der Bankenverbände, erklärte am Donnerstag, nach Bekanntwerden der Schwachstelle sei sofort überprüft worden, ob die Geldinstitute betroffen seien. "Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise abgeschlossen worden." Der Plan sei eigentlich gewesen, die Schwachstelle ohne großes Aufsehen im Hintergrund dichtzumachen, schrieb das "Wall Street Journal" unter Berufung auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.

Lest auch: Datenklau: Sicherheitstest für Email-Adressen online

Über 18 Millionen Email Adressen wurden geknackt. Ob Ihre dazu zählt, können Sie auf der Seite des BSI nun ganz e ...

(dpa/mgä)

comments powered by Disqus