Manfred Kloiber: Das Vertrauen in die Open-Source-Community ist jetzt stark erschüttert worden durch den sogenannten Heartbleed-Bug, den Herzblut-Fehler. Rund eine halbe Million Server sollen betroffen sein, darunter so klingende Namen wie Yahoo, Flickr, aber auch Server von Sparkassen und Banken, E-Mail-Provider und Anbieter virtueller privater Netzwerke. Durch die Sicherheitslücke kann in verschlüsselte Mails, kann in den Arbeitsspeicher der betroffenen Server hineingeschaut werden. So können sogar Bankdaten und Kontoinformationen im Klartext gelesen werden. Stellt sich natürlich die Frage: Wie kam es zu diesem Fehler? Und die reiche ich weiter an meinen Kollegen Peter Welchering.
Peter Welchering: Die Entdecker der Sicherheitslücke sprechen hier vom Heartbleed-Bug, dem Herzblut-Fehler, weil der Fehler in der sogenannten Heartbeat, Herzschlag-Funktion liegt. Das ist ein Computerprogramm, mit dem ich bei meiner Bank zum Beispiel oder meine Bank bei mir anfragt, ob der jeweils andere noch aktiv ist. Eine fehlende Überprüfung erlaubt es, den Arbeitsspeicher der Gegenseite auszulesen. Das ist tatsächlich ein sehr trivialer Fehler, der da passiert ist. Und weil er so trivial ist, hat das natürlich zu Diskussionen und kritischen Fragen geführt.
Kloiber: Wie stark ist OpenSSL denn von der Open-Source-Community überprüft worden?
Welchering: Normales Audit, so nennt man den Prüfprozess. Dabei ist die fehlende Längenüberprüfung bei der Heartbeat-Funktion eben einfach nicht aufgefallen. Deshalb wird auch über neue Audit-Formen in der Open-Source-Community diskutiert. Das ist eine ganz spannende Diskussion. Denn mit der Überprüfung durch viele Augen und viele Sachverständige hat Open Source ja bisher sich von herstellereigener Software abgehoben und unterschieden. Egal ob Anfängerfehler oder Hintertür, der Heartbleed-Bug hat gezeigt, dass diese Überprüfungsmechanismen nicht ausreichen.
Kloiber: Wem könnte eine solche Hintertür denn nutzen?
Welchering: Nachrichtendienste wird gemutmaßt. Aber die brauchen das eigentlich nicht. Denn der SSL-Standard ist ohnehin unsicher: Bei der sog. Transportverschlüsselung wird mit sog. Zertifikaten gearbeitet. Das sind Berechtigungen. Wenn jemand solch ein Zertifikat hat und sagt: Ich bin berechtigt, zu entschlüsseln, kann er die Mail im Klartext lesen. Da braucht er nicht einmal einen Schlüssel. Geheimdienste haben solche Zertifikate, also die Lizenz zum Entschlüsseln. Die organisierte Kriminalität hat solche Zertifikate gefälscht oder geklaut. Deshalb wollten die Internet Ingenieure im vergangenen auf der Tagung der IETF ja auch die Transportverschlüsselung durch einen Verschlüsselungsstandrad ersetzen, der ohne Zertifikat arbeitet. Die Internet Ingenieure haben nämlich gesagt: Diese Zertifikatslösung ist viel zu unsicher. Dass Kreditinstitute das beim Online-Banking einsetzen, das ist schon etwas fahrlässig.