Internet-Sicherheitslücke – NSA soll Heartbleed-Fehler für Spionage genutzt haben

Internet-Sicherheitslücke:NSA soll Heartbleed-Fehler für Spionage genutzt haben

11. April 2014, 22:34 Uhr

Der US-Geheimdienst NSA hat einem Bloomberg-Bericht zufolge bereits seit zwei Jahren Kenntnis von der Sicherheitslücke Heartbleed - und soll über sie an sensible Daten von Internet-Nutzern gelangt sein. Die NSA dementiert die Vorwürfe.

Was einige Experten vermutet hatten, ist womöglich Realität: Der US-Geheimdienst NSA hat angeblich die gravierende SSL-Sicherheitslücke Heartbleed ausgenutzt, um an Passwörter und andere sensible Informationen zu gelangen.

Wie die Nachrichtenagentur Bloomberg unter Berufung auf zwei "mit der Angelegenheit vertraute Personen" berichtet, wusste die NSA seit mindestens zwei Jahren von der Schwachstelle. Anstatt diese jedoch zu melden und damit die Internet-Sicherheit zu verbessern, habe man Heartbleed zur Sammlung von Daten im Rahmen von Geheimdienstoperationen verwendet. Über das Ausmaß der Aktionen ist nichts bekannt.

Die NSA habe die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt, berichtet Bloomberg weiter. Die Lücke sei dann zu einem Grundelement des "Werkzeugkastens" des Abhör-Dienstes geworden. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server.

Wahrscheinlich Hunderte Millionen Nutzer betroffen

Seit Monaten ist bekannt, dass die NSA die Verschlüsselung im Internet massiv ins Visier genommen hatte. Sie forschte aktiv nach Schwachstellen und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen.

In einer Stellungnahme dementierte das Büro des US-Geheimdienstdirektos jedoch die Vorwürfe deutlich. Man habe erst mit der Veröffentlichung des Bugs von dessen Existenz erfahren. Hätte man zuvor davon gewusst, hätten die zuständigen Stellen dies der Entwickler-Community von OpenSSL mitgeteilt - zumal die amerikanische Regierung auf ihren Seiten die Technik nutze.

Der Heartbleed-Fehler war erst vor wenigen Tagen bekannt geworden. Ein Sicherheitsleck im Verschlüsselungssystem OpenSSL machte Webserver, aber auch Netzwerk-Software angreifbar. Da OpenSSL als Verschlüsselungs-Programm weit verbreitet ist, waren mehrere hunderttausend Websites betroffen. Mit Diensten der Internet-Giganten Yahoo und Google geht es um potenziell Hunderte Millionen Nutzer, die zu möglichen Angriffszielen wurden. Die Nutzer wurden inzwischen aufgefordert, ihre Passwörter zu ändern.

Am Donnerstag war ein Fall bekannt geworden, in dem vermutlich ein Angriff mit Fokus auf die Sicherheitslücke versucht wurde. Nach Erkenntnissen der Netzaktivisten der Electronic Frontier Foundation (EFF) gehören die IP-Adressen hinter dieser Attacke vom November 2013 zu einem Botnetz aus gekaperten Computern, das bereits versucht habe, Internet-Chats abzuhören.