New York – Der US-Geheimdienst NSA hat nach Darstellung der US-Regierung eine massive Sicherheitslücke im Internet nicht zum Datensammeln ausgenutzt. Die Regierung in Washington dementierte binnen Stunden einen Medienbericht, wonach die NSA die «Heartbleed»-Schwachstelle seit langem gekannt und ihren Vorteil daraus gezogen habe. Allerdings berichtete die «New York Times» am Sonntag, dass Präsident Barack Obama der NSA zugestanden habe, Sicherheitslücken aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung auszunutzen.
Die erst in der vergangenen Woche publik gewordene «Heartbleed»-Lücke sorgt dafür, dass Angreifer die Verschlüsselung aushebeln und so vermeintlich geschützte Daten abgreifen können. Es ist eine der gravierendsten Sicherheitslücken in der Internet-Geschichte. Da OpenSSL als Verschlüsselungsprogramm weit verbreitet ist, waren mehrere Hunderttausend Websites betroffen.
«Erst im April von Lücke erfahren»
Die Behörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der Lücke erfahren, sagte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag (Ortszeit). Die US-Regierung verlasse sich selbst auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.
Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei Personen geschrieben, die Lücke sei der NSA seit «mindestens zwei Jahren» bekanntgewesen. Unter anderem seien darüber Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung fiel diesmal aber deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.
Allerdings habe US-Präsident Barack Obama der National Security Agency (NSA) zugestanden, Sicherheitslücken im Internet unter gewissen Umständen zu verschweigen und auszunutzen, berichtete die «New York Times» am Sonntag online unter Berufung auf hochrangige Regierungsvertreter. Dies sei aus zwingenden Gründen der nationalen Sicherheit oder der Strafverfolgung gerechtfertigt.
Spurlose Angriffe
Im konkreten Fall könnten Millionen Nutzer, die Dienste der Internet-Giganten Yahoo und Google nutzen, zu möglichen Angriffszielen werden. Zudem fand sich der Fehler in weit verbreiteter Netzwerk-Technik von Cisco und Juniper. Angriffe über die Schwachstelle hinterlassen keine Spuren auf dem Server. Die Lücke geht auf einen deutschen Programmierer zurück, der beteuert, es sei ein ungewolltes Versehen gewesen.
Schon nach Auftauchen des Problems war spekuliert worden, die NSA könnte ihre Finger im Spiel gehabt haben. Seit Monaten ist bekannt, dass der US-Geheimdienst die Verschlüsselung im Internet massiv ins Visier genommen hatte. Die NSA forschte nach Fehlern und versuchte auch, Schwachstellen einzuschleusen und Verschlüsselungs-Algorithmen aufzuweichen. Hätte der Geheimdienst eine Lücke dieses Ausmasses gekannt und nichts unternommen, hätte er damit Hunderte Millionen Nutzer potenziellen Angriffen von online-Kriminellen ausgeliefert.
OpenSSL ist ein sogenanntes Open-Source-Projekt, bei dem jeder den Software-Code einsehen und weiterentwickeln kann. Die Programmierer arbeiten unentgeltlich. Die Änderungen werden dokumentiert, damit konnte auch der Verantwortliche schnell ausfindig gemacht werden. Der Fehler findet sich in einer Funktion namens «Heartbeat», Herzschlag. Die Schwachstelle wurde in Anlehnung daran «Heartbleed» genannt. (awp/mc/ps)
