„Niemand weiß, ob er angegriffen wurde“

Experten nennen es einen GAU: Ein unscheinbarer Codierfehler führt dazu, dass User von Webseiten wie Tumblr, Flickr oder Web.de sich mit ihren Passwörtern nicht mehr sicher fühlen können. Durch den „Heartbleed“-Fehler können Benutzerdaten leicht gestohlen werden.  Stephan Windmüller, wissenschaftlicher Mitarbeiter des Lehrstuhls für Programmiersysteme, erklärt im Interview mit pflichtlektüre die Hintergründe.

pflichtlektüre: Was ist bei dem „Heartbleed“-Fehler passiert? 

Eigentlich hat ein Programmierer nur einen Codebeitrag zu der Bibliothek OpenSSL geleistet. Dabei hat er – vermutlich unabsichtlich – einen Fehler eingebracht, der es einem Angreifer ermöglicht, Informationen von einem Server zu stehlen. Der Betreiber des Servers weiß dabei nicht, ob und wie viele Daten gestohlen wurden.

Was ist OpenSSL? 

OpenSSL kann man sich als eine Bibliothek vorstellen, die ermöglicht, dass Dienste im Internet verschlüsselt miteinander kommunizieren können, zum Beispiel https. Die Software ist Open Source, das heißt jeder kann zu ihr etwas beitragen. Allerdings müssen die Maintainer (Projekt-Moderatoren) die Änderungen vor der Einbindung abnicken. 

Wieso ist der Fehler dann nicht vorher aufgefallen? 

Wenn die Software funktioniert, fällt so etwas oft nicht auf. Auf den ersten Blick sieht der Fehler unverdächtig aus und nicht nach einer gefährlichen Absicht. Das Problem ist ja nur ein kleiner Codeschnipsel.

Wie oft passieren solche kleinen Fehler beim Programmieren?

"Konsequenzen in diesem Ausmaß habe ich noch nie gesehen." Stephan Windmüller ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Programmiersysteme der TU Dortmund. Foto: Tasja Demel

Stephan Windmüller ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Programmiersysteme der TU Dortmund. Foto: Tasja Demel

Fehler passieren ständig. Tippfehler fallen schnell auf, eher sind es Logikfehler, die Probleme verursachen. Dann versucht zum Beispiel jemand, einen augenscheinlich ineffizienten Code zu verbessern und sieht nicht, dass der Code noch einige Schutzmaßnahmen enthält.

Ist der „Heartbleed“-Fehler das Worst-Case-Szenario beim Programmieren?

Konsequenzen in diesem Ausmaß habe ich noch nie gesehen. Niemand weiß, ob er angegriffen wurde – selbst die Betreiber eines Servers nicht, das ist ja das Gruselige. Angreifer können den Speicher des Servers auslesen, in dem Benutzernamen, Passwörter und Emailadressen oder sogar der privaten Schlüssel des Servers gespeichert sind – so oft sie wollen, weil sie ja keine Spuren hinterlassen. Wenn sie an noch mehr Informationen kommen wollten, können sich Angreifer mit dem Schlüssel auch zwischen Server und Nutzer klemmen, sich als der jeweils andere ausgeben und dann die Infos abfangen. Das ist aber sehr aufwändig und erfordert schon wirklich kriminelle Energie. 

Wer könnte diese Situation ausnutzen?

Es gibt Hinweise auf Aktionen eines Botnetzes, das schon im November Daten durch Heartbleed gesammelt hat. Das sind Verbünde von Rechnern, die gezielt einen Server angreifen. 

Der Blogger Felix von Leitner spricht in einem Artikel davon, dass der Fehler so unauffällig ist, dass er eine Backdoor sein könnte. Was ist eine Backdoor? 

Eine Backdoor ist eine wissentlich eingebaute Hintertür in einem Code, die Zugriff von außen auf das System ermöglicht. Davon weiß der Nutzer im Regelfall nichts. Ob der Fehler aber wirklich eine Backdoor ist, dazu kann ich keine Aussage machen.

Was können Betreiber und User eines Servers tun, damit ihre Daten wieder sicher sind?

Betreiber müssen ihre Server so schnell wie möglich auf das neueste OpenSSL aktualisieren und neue Schlüssel generieren, damit sie die alten für ungültig erklären können. Außerdem brauchen sie auch neue Zertifikate, also eine Bescheinigung, dass dieser Schlüssel zu diesem Server gehört. Ein neues Zertifikat zu beantragen kann unter Umständen ein paar Tage dauern. Erst wenn das alles passiert ist, sollten User ihr Passwort ändern – sonst könnte das neue Passwort wieder ausgespäht worden sein. 

Ist das Uninetz auch vom Heartbleed-Fehler betroffen?

Einige Server am Lehrstuhl waren betroffen. Aber ob es das gesamte Uninetz betrifft, weiß ich nicht.  

Kann man überhaupt im Internet sicher sein?

Hundertprozentige Sicherheit gibt es nicht. Was wir tun können: schneller reagieren, Sicherheitslücken schneller schließen, die User schneller informieren. Aber es bleibt ein Risiko, mit dem man leben muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.