NSA will nichts von "Heartbleed"-Lücke gewusst haben

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe.

Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der "Heartbleed"-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden. Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

• So funktioniert der Heartbleed-Exploit
• SSL-Gau: So testen Sie Programme und Online-Dienste
• Passwörter in Gefahr - was nun?
• Heartbleed-Betroffene stecken Kopf in den Sand
• Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen
• Infos und Hintergrund zum Heartbleed-Bug

Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen geschrieben, die Lücke sei der NSA seit "mindestens zwei Jahren" bekannt gewesen und von ihr rege genutzt worden. Unter anderem seien damit Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung kam diesmal allerdings keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Die erst in der vergangenen Woche öffentlich gewordene Schwachstelle sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und die Schlüssel sowie die vermeintlich geschützten Daten abgreifen können. Da OpenSSL weit verbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es potenziell um hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Schon nach Auftauchen des Problems war spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Seit Monaten ist offenkundig, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hatte. Sie forschte aktiv nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Wenn der Geheimdienst eine Lücke von diesem Ausmaß gekannt und nichts gegen unternommen hätte, würde er damit hunderte Millionen Nutzer schutzlos gegen mögliche Angriffe von Online-Kriminellen dastehen lassen.

[Update 14.04.2014 - 10:25 Uhr] In dem Statement der NSA hält sich der Geheimdienst aber offen, das Wissen um Zero-Day-Exploits (also den Entwicklern unbekannte Schwachstellen), für sich zu behalten, wenn das der nationalen Sicherheit diene. Auch zu Zwecken der Strafverfolgung sei dies möglich, habe US-Präsident Obama vor wenigen Monaten in einer weitgefassten Ausnahmeregelung festgelegt, berichtet die New York Times. ()