Handelsblatt

MenüZurück
Wird geladen.

13.10.2014

06:45 Uhr

Heartbleed, Shellshock und Co

Warum das Internet zum TÜV muss

VonChristof Kerkmann

Erst Heartbleed, dann Shellshock – zwei schwere Sicherheitslücken haben die Internetbranche schockiert. Sie illustrieren ein gravierendes Problem: Fast alle Firmen nutzen offene Software – aber nur wenige überprüfen sie.

Ein Hacker bei der Arbeit: Die Heartbleed-Lücke zeigt, dass offene Software stärker geprüft werden muss. dpa

Ein Hacker bei der Arbeit: Die Heartbleed-Lücke zeigt, dass offene Software stärker geprüft werden muss.

DüsseldorfStrandnahe Ferienwohnungen an der Ostsee, ein Haus mit Pool in Kroatien, eine Berghütte im Bayerischen Wald: Das Internetportal, dessen Name hier nicht genannt werden soll, hilft bei der Suche nach komfortablen Urlaubsunterkünften. Doch wer dort in den letzten Monaten seine persönlichen Daten eingegeben hat, könnte eine unbequeme Überraschung erleben.

Denn der Betreiber der deutschsprachigen Website hat erst vor wenigen Tagen die Sicherheitslücke geschlossen, die im April unter dem Namen Heartbleed die Internetbranche erschütterte. Angreifer konnten bei dem Portal über einen Fehler in der Verschlüsselungstechnologie OpenSSL vermeintlich geschützte Daten stehlen – etwa wenn Nutzer ein Ferienhaus reservieren wollen.

Das Beispiel illustriert ein gravierendes Problem: Offene und kostenlose Systeme (Experten sprechen von Open Source) sind tragende Säulen des Internets, die in Millionen von Webseiten und Online-Diensten verbaut werden. Fast alle Unternehmen und Behörden nutzen sie – aber viel zu wenige überprüfen, wie belastbar sie überhaupt sind. Das gilt für OpenSSL ebenso wie für die weitverbreitete Linux-Funktion Bash, in der ein Entwickler kürzlich ebenfalls eine schwere Sicherheitslücke namens Shellshock entdeckte.

Was ist Heartbleed?

Was ist Heartbleed?

Heartbleed ist der Name für eine Sicherheitslücke in der Software OpenSSL. Dabei handelt es sich um einen Baukasten für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll.

Warum ist das Problem so gravierend?

SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Sicherheitsexperte Bruce Schneier sprach daher von einem „katastrophalen Fehler“.

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag.

Wie kann sie ausgenutzt werden?

Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler „Heartbleed“, weil er Informationen „ausblutet“.

Was können Angreifer tun?

Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann an sich sichere Kommunikation mitlesen und beispielsweise auch sensible Daten ausspähen.

Ist der Fehler nicht behoben?

Es gibt längst ein Update, um OpenSSL abzusichern. Nicht alle Website-Betreiber haben es aber eingespielt. Zudem müssen sie auch die Zertifikate austauschen, die bei der Verschlüsselung zum Einsatz kommen – denn zumeist kann nicht zweifelsfrei ausgeschlossen werden, dass diese gestohlen wurden.

Mit offener Software kommt wohl jeder in Kontakt, und zwar täglich: Wenn man beispielsweise im Browser eine Website aufruft, werden die Daten wahrscheinlich von einem Server ausgeliefert, der mit Linux und der Software Apache läuft. „Open Source ist im Netzwerkumfeld sehr stark vertreten“, sagt Joachim Müller, der bei der Bielefelder Unternehmensberatung Ceyoniq Consulting den Bereich IT-Sicherheit leitet. Das gelte auch für Router und Firewall-Systeme.

Viele Unternehmen nutzen außerdem offen verfügbaren Code, um nicht alles selbst programmieren zu müssen. „Man kann betriebswirtschaftlich nur sinnvoll entwickeln, wenn man auf gestandene Produkte zurückgreift“, betont Müller. Das gilt gerade für so etwas Komplexes wie Verschlüsselung – so ist OpenSSL zu einem Quasi-Standard geworden.

Das Vertrauen in Linux & Co. ist allgemein groß. Denn der Programmcode von Open-Source-Software ist offen, jeder darf ihn also überprüfen und verbessern. Das Versprechen lautet: Die Entwickler-Community bessert gemeinsam Fehler aus und verschließt Hintertürchen. Daher haben quelloffene Programme den Ruf, besonders sicher zu sein.

Doch bei der Schwarmintelligenz lautet die entscheidende Frage: Wie groß ist der Schwarm? Heartbleed und Shellshock zeigen: nicht immer groß genug. „Solange man darauf vertrauen kann, dass andere investieren, muss man nichts machen“, sagt der Informatik-Professor Christoph Sorge von der Universität des Saarlandes. Das sei die „Tragik der Allmende“ – Gemeinschaftseigentum lädt manchmal zur Verantwortungslosigkeit ein.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Frau ke Schludewig

13.10.2014, 08:15 Uhr

Bin ja mal gespannt wie das Vorgehen ist, wenn der "TÜV" eine Software frei gibt und später dann trotzdem eine Sicherheitslücke gefunden wird.
Kann man den "TÜV" dann verklagen?

Herr richard roehl

13.10.2014, 10:51 Uhr

Der Beamten-TÜV ist da sicher die zweitschlechteste Institution sowas zu prüfen, gleich hinter der Stiftung Warentest

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×