Heartbleed-Sicherheitslücke Und der Staat schaut zu

Die ganze Welt ist von der Heartbleed-Sicherheitslücke betroffen

(Foto: dpa)

Heartbleed, ein kleiner Fehler in der verbreiteten Sicherheitssoftware OpenSSL, ist ein Skandal höchsten Ausmaßes. Doch das BSI, die zuständige IT-Behörde, schweigt dazu. Dabei könnte und sollte der Staat vieles tun - auch ohne die Freiheit des Netzes zu gefährden.

Ein Kommentar von Helmut Martin-Jung

Angenommen, in einem großen deutschen Chemiewerk wäre bei einer Reparatur an einem Abwasserreinigungssystem ein Fehler passiert. Ein gewaltiger Fehler. Ein Fehler, der dazu führt, dass über lange Zeit ein hochgiftiger Stoff ins Grundwasser sickert. Was würde wohl passieren, wenn das entdeckt würde? Die Umweltämter würden Probebohrungen veranlassen, Bürgerinitiativen würden nach Aufklärung rufen - kurz gesagt: Es käme zu einem Skandal riesigen Ausmaßes.

In Neuland ist so etwas gerade passiert. Ein großer Teil von Online-Angeboten auf der ganzen Welt ist betroffen von einem Leck, bei dem zwar kein Gift entwichen ist, aber höchst sensible Daten abhanden kamen. Weil ein kleiner Fehler in einer verbreiteten Verschlüsselungssoftware namens OpenSSL mehr als zwei Jahre lang unentdeckt blieb, waren zahlreiche Anbieter im Netz mit einfachen Mitteln angreifbar. Und es gibt allenfalls einige wenige Verdachtsmomente, wer sich da alles bedient haben könnte.

Das ist ein gewaltiges Problem, denn es geht nicht um Kinkerlitzchen. Durch den Fehler stand sozusagen das Allerheiligste der Serverrechner sperrangelweit offen. Angreifer konnten mit ein paar simplen Befehlen Stück für Stück Inhalte aus dem Arbeitsspeicher betroffener Server abgreifen - und das ausgerechnet bei Diensten, die aus gutem Grunde verschlüsselt kommunizieren sollten, wie etwa beim Online-Banking.

Das BSI schweigt zum Daten-GAU

Die Angreifer erhalten zwar erst einmal einen ziemlichen Datensalat. Wer das Skript zum Ausnutzen der Heartbleed genannten Lücke schreiben kann, hat aber sicher keine Schwierigkeiten, seinen Computer wichtige Informationen aus dem Datenwust herausfiltern zu lassen. Und er findet somit manche Perle: E-Mail-Adressen samt Passwort oder Kreditkartendaten. Aber auch die Inhalte, etwa von E-Mails, die ebenfalls verschlüsselt übertragen wurden, stehen dort unverschlüsselt. Und - schlimmer noch - auch die Generalschlüssel selbst kann man sich dort abholen und damit auch aufgezeichneten Datenverkehr im Nachhinein entschlüsseln. Es sind Daten, die auch so manchen Geheimdienst interessieren dürften.

Es ist also kein Alarmismus, hier von einem Daten-GAU zu sprechen. Genauso sehen das auch die IT-Fachportale im Netz. Aber was sagt die zuständige deutsche Behörde dazu, das Bundesamt für Sicherheit in der Informationstechnik? Jene Behörde, die vor wenigen Tagen erst wieder zum großen E-Mail-Adressen-Test rief. Es sagt: gar nichts.

Zugegeben, es ist auch schlimm, dass es Listen mit Millionen von E-Mail-Adressen und Passwörtern gibt, viele davon von Nutzern großer deutscher E-Mail-Dienste wie etwa 1&1, web.de oder GMX. Doch gewaltige Sicherheitsprobleme wie Heartbleed sind auch eine Ursache dafür, dass solche Listen überhaupt entstehen und in die falschen Hände geraten. Es müssten also eigentlich alle Alarmglocken schrillen, es müssten die Internet- und Mail-Anbieter unter größtmöglichen Druck gesetzt werden, ihre Systeme in Ordnung zu bringen. Es müsste ein Meldewesen geben, wer seine Server wann repariert und die Nutzer informiert hat.

Private Initiativen übernehmen staatliche Aufgaben

Doch das wird, wie es aussieht, alles privater Initiative überlassen. Tests, mit denen man prüfen kann, ob ein Angebot noch verwundbar ist, haben Privatleute in Eigenregie geschrieben. Das kann nicht so bleiben. Wenn das Amt, das für die Sicherheit der Informationstechnik zuständig sein soll, dazu nichts zu sagen hat, setzt es entweder die falschen Schwerpunkte, oder es ist nicht gut genug ausgestattet. Beides darf nicht sein und muss schleunigst geändert werden.

Der Bürger aber ist wieder einmal auf sich allein gestellt und muss sich mit zwei Dingen abfinden. Erstens: Der Staat ist nicht die erste Adresse, wenn es um die Abwehr von Gefahren aus dem Internet geht. Er ist nicht dafür zuständig, dem Bürger alle Sorgen des Lebens abzunehmen - es gibt ja auch keine vom Staat bezahlten Haustürschlösser. Zweitens: Wenn das Internet - wofür alles spricht - dem Gedanken der Freiheit verpflichtet bleiben soll, muss man auch damit leben, dass es nicht nur von Menschen mit guten Absichten genutzt wird.

Darauf eindringlicher und verständlicher hinzuweisen, das aber ist Aufgabe des Staates. Was daher nottut: Aufklären, Wissen vermitteln - und zwar schon in den Schulen; Initiativen und Start-ups unterstützen, die helfen, das Internet sicherer zu machen. Mit anderen Worten, Hilfe zur Selbsthilfe leisten. Andernfalls werden die Menschen neuer Technik misstrauen - und damit aus Unkenntnis etwas ablehnen, das letztlich das wirtschaftliche Wohl sichert und steigert.