Heartbleed: Verursacher des Bugs ist ein Deutscher

Schon seit Tagen kursiert die Sicherheitslücke von OpenSSL mit dem Namen Heartbleed immer wieder in den Medien. Die Folgen sind selbst jetzt noch nicht abzuschätzen und vermutlich sind etliche E-Mail-Konten davon betroffen. Nun hat sich ein Programmierer zu Wort gemeldet, der diese Sicherheitslücke verursacht haben soll. Der mögliche Verursacher des Heartbleed-Bugs ist ein Deutscher namens Robin S. Twitter-User behauten er habe Heartbleed absichtlich verursacht, möglicherweise auch in Zusammenarbeit mit der NSA.

Durch das bei dem Bug entstehende Leck haben Angreifer die Möglichkeit Passwörter abzufangen. Die genutzt Verschlüsselung OpenSSL bringt dann gar nichts mehr. Es trifft Webserver, VPNs, Mailserver und Chatserver. Mittlerweile sind auch Dienste wie Facebook, Gmail oder Dropbox betroffen. Und die Liste wird stetig voller. Immer mehr Internet-User klagen über gestohlene Passwörter, Seitenbetreiber müssen nachrüsten um die SSL-Lücke schließen zu können. In den schlimmsten Fällen wie beispielsweise in Österreich sind sogar die Webseiten von Banken und das Online-Banking betroffen. Der Kryptografie-Experte Bruce Schneier spricht auf seinem Blog von Heartbleed als eine 11 auf einer Skala von 1 bis 10. Es wird allen Nutzern im Internet geraten, ihre aktuellen Konten zu überprüfen und die Passwörter zu ändern.

Heartbleed, auf einer Skala von 1 bis 10 ist das eine 11

Via Twitter wurde erstmals verbreitet, dass Robin S. der Verursacher von Heartbleed ist. Robin S. hat mittlerweile gegenüber Spiegel Online Stellung zu den Vorwürfen bezogen.

"Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuen Features eingerichtet. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen."

Selbst ein Reviewer des Codes habe den Fehler nicht gefunden. Er spricht von diesem Fehler als “ziemlich trivial”. Der Fehler soll schon seit etwa 2 Jahren existieren, gefunden wurde er allerdings erst jetzt. Natürlich rufen derartige Geschichten Verschwörungstheoretiker auf den Plan. Man vermutet, Robin S. habe Heartbleed absichtlich in OpenSSL eingebaut, um der NSA eine Hintertür zu schaffen. Selbst die FAZ spricht davon, dass man in Zeiten des NSA-Skandals nicht sicher sein kann, ob es sich dabei nicht um einen Sabotageakt handelt. Warum dann aber der scheinbar nichtsahnende deutsche Student? Bedenkt man, wie viel Geld die NSA für ihre Spionage ausgibt, könnten sie vermutlich schneller an ihr Ziel kommen.

Robin S. bestreitet nach wie vor, dass er den Fehler vorsätzlich eingebaut hat. Es handele sich bei Heartbleed um einen einfachen Programmierfehler, der unglücklicherweise da passiert ist, wo Sicherheit eigentlich an erster Stelle stehen sollte. Dass die NSA oder andere Geheimdienste diese Lücke ausgenutzt haben, schließt er aber nicht aus. Auch viele andere Experten gehen davon aus, dass der Fehler einfach ein Fehler war. OpenSSL ist schließlich eine Open Source Software, deren Quellcode kostenlos zur Verfügung steht und die jeder beliebig verändern kann. Der Fehler sei also einfach nur nicht aufgefallen.

Man geht aktuell davon aus, dass Robin S. keine rechtlichen Konsequenzen zu fürchten hat. Auch ein Schadenersatzanspruch ist nichtig, das es zwischen den Firmen und den Entwicklern der Open Source Software keinen Vertrag gibt. Das wäre nur möglich, wenn ein Vorsatz bewiesen werden kann. Die ist allerdings noch nicht der Fall.

Gaming
[next-gamer.de] · 12.04.2014 · 14:42 Uhr
[4 Kommentare]