Ein vor wenigen Tagen bekannt gewordener fehlerhafter Software-Code in der Verschlüsselungssoftware OpenSSL, der eine Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer in Deutschland geschrieben. Ärgerlicherweise hat der Programmierer eigentlich seinerzeit etliche Bugfixes und neue Features für OpenSSL eingereicht – und dabei unbeabsichtigterweise einen neuen Fehler mit eingebaut. »In einem Patch für ein neues Features hab ich offenbar eine Längerprüfung übersehen«, erklärt er in einem E-Mail an »Spiegel Online«. Der Fehler an sich sei »ziemlich trivial«.

Dass der Bug so lange Zeit nicht entdeckt wurde, nährte zwischenzeitlich den Verdacht, der US-Geheimdienst NSA hätte den Fehler beabsichtigt eingebaut. Dem war aber anscheinend nicht so. Nach Angaben der Sprecherin des Nationalen Sicherheitsrates der USA, Caitlin Hayden, habe die Regierung erst in diesem April von »Heartbleed« erfahren. Zudem sei die Software auch von US-Behörden eingesetzt worden.

Die Funktion, in der der OpenSSL-Fehler liegt, heißt »Heartbeat« (Herzschlag), weshalb die Schwachstelle in Anspielung darauf »Heartbleed« (Herzbluten) genannt wird. Viele Firmen reagieren bereits darauf mit Patches, hierzulande vor allem Banken und Sparkassen. Google hat eigenen Angaben zufolge die Lücken mit Updates bei ihren Diensten wie Gmail, Youtube, Google Play sowie der Internet-Suche geschlossen. Trotzdem gilt generell: Anwender sollten vorsichtshalber Passwörter ändern. (Mehr technische Infos über Heartbleed, eher gedacht für Programmierer, gibt es unter heartbleed.com.) Der Online-Sicherheitsexperte Bruce Schneider kommentiert die Dramatik der Heartbleed-Schwachstelle so: »Auf einer Skala von 1 bis 10 ist es 11.«

Rund 1.300 Apps aus Google Play verbinden sich mit angreifbaren Servern

Und so zieht die Sicherheitslücke immer weitere Kreise. Beispielsweise hat das Security-Unternehmen Trend Micro 390.000 Apps aus dem Google-App-Marktplatz »Google Play« überprüft und kommt zu dem Ergebnis, dass sich rund 1.300 davon mit angreifbaren Servern verbinden. Wie das Unternehmen in einem speziellen Heartbleed-Blog schreibt, befinden sich darunter unglücklicherweise auch 15 Banking-Apps, 39 Apps für Online-Bezahlvorgänge sowie weitere zehn, die mit Online-Einkäufen zu tun haben.

»Leider kann der Nutzer nicht viel gegen diese Gefahr unternehmen«, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. »Denn die meisten mobilen Anwendungen müssen sich mit Servern verbinden, um zu funktionieren. Doch die Sicherheitslücke können nur die Betreiber der Server schließen.«

Auf die Speicherdauer der Kreditkartendaten beim Online-Shop hat der Anwender keinerlei Einfluss

Dies ist vor allem für Besitzer von Smartphones oder Tablets ein Problem, die ihre Geräte für mobile Bankgeschäfte oder Einkäufe, einschließlich so genannter In-App-Einkäufe, verwenden. Wer zum Beispiel über eine App einen Einkauf tätigt und dafür innerhalb dieser Anwendung seine Kreditkartendaten eingeben muss, läuft Gefahr, dass diese Angaben im Nachhinein von Cyberkriminellen entwendet werden. Denn diese Daten liegen auf einem Server, und auf die Speicherdauer hat der Anwender keinerlei Einfluss. Ist der Server nun über die Sicherheitslücke angreifbar und werden die Kreditkartendaten für längere Zeit aufbewahrt, besteht das Risiko des Datendiebstahls und eines späteren finanziellen Verlustes.

»Es wird sicherlich noch einige Wochen oder sogar Monate dauern, bis die Sicherheitslücke auf allen betroffenen Servern geschlossen ist«, schätzt Schneider. »Bis dahin sollten die Anwender der Versuchung widerstehen. Und insbesondere Finanztransaktionen dann – und nur dann – tätigen, wenn sie absolut sicher sind, dass die Betreiber hinter den Bezahl- oder Bankdiensten die Sicherheit wiederhergestellt haben, falls sie betroffen waren.«

Information Security Forum: Sicherheit ist ein strategisches Thema

»Meine einfache, aber weitreichende Schlussfolgerung daraus lautet, dass es absolute Sicherheit im Cyberspace nicht gibt und auch nie geben wird«, betont Steve Durbin, Global Vice President des Information Security Forum. »Für Unternehmen bedeutet das vor allem eines: Sie müssen beim Umgang mit sensiblen Informationen trotz modernster Verschlüsselungstechnik immer im Auge behalten, dass diese Informationen in falsche Hände gelangen können – mit allen denkbaren Konsequenzen.«

Durbin ärgert sich, dass es bei der Diskussion um Heartbleed wieder fast ausschließlich um technische Fragen gehe. Beispielsweise: Mit welchen Lösungen könne auf eine technische Panne reagiert werden? Dies sei schon seinerzeit bei der NSA-Diskussion so gewesen. »Aus unserer Sicht zeigt das einmal mehr, dass leider immer noch ein falsches Sicherheitsverständnis weit verbreitet ist«, sagt Durbin. »Gerade Unternehmen behandeln IT-Sicherheit häufig immer noch als rein technische Angelegenheit, die sich allein mit dem Einsatz von Sicherheitstechnik regeln lässt. Sicherheit ist aber viel mehr und vor allem ein strategisches Thema.«

.