Security

Verschlüsselungs-GAU: Leck in OpenSSL ermöglicht Datenklau

Computernutzer verlassen sich beim Surfen auf Verschlüsselungstechnik wie SSL, um ihre Daten zu schützen. Sie funktioniert im Hintergrund und sichert E-Mails oder Passworte. Jetzt kam heraus, dass ein vielgenutzter SSL-Baukasten eine schwerwiegende Lücke aufweist.

08.04.2014, 14:35 Uhr (Quelle: DPA)
Laptop© Micha Bednarek / Fotolia.com

Eine Schwachstelle in der weit verbreiteten Verschlüsselungs-Software OpenSSL ermöglicht es Angreifern, geschützte Informationen auszulesen und Kommunikation abzugreifen. Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern "Heartbleed" genannt. SSL wird benutzt, um Informationen auf dem Weg durchs Web zu schützen, etwa Passwörter oder die Inhalte von E-Mails. Die Schwachstelle "erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben", schrieben die Entdecker.

"Gau für Verschlüsselung im Web"

Besonders schwerwiegend: Angreifer können damit die privaten Schlüssel auslesen, mit denen Informationen geschützt werden. "Das sind die Kronjuwelen", warnten die Sicherheitsexperten von Google und Codenomicon, die den Bug entdeckten. Wer sie habe, könne eigentlich verschlüsselte Informationen entziffern. Der Fachdienst "Heise" sprach von einem "Gau für Verschlüsselung im Web". Damit könnten Angreifer aller Art es leichter haben, Daten abzufischen. Auch der US-Geheimdienst NSA hat laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt.

Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter nutzen SSL-Verschlüsselung. OpenSSL sei einer der am meisten genutzten Bausteine oder "Bibliotheken" dafür, sagte Falk Garbsch vom Chaos Computer Club der Nachrichtenagentur dpa. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.

Mysteriöser Fehler in quelloffener Software

Der Fehler setzt am Anfang einer Verbindung mit einem Webdienst an. Dann tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Wer die Schwachstelle ausnutzt, kann einen Webserver dazu bringen, mehr Informationen preiszugeben als eigentlich vorgesehen, sagte Garbsch. Dazu zähle auch eben jener private Schlüssel eines Nutzers, der eigentlich "ganz dringend geheim gehalten werden muss". "Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird." So könne ein Angreifer beispielsweise Passwörter stehlen.

OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. "Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah diese Update durchführen", sagte Garbsch. Doch auch der Not-Flicken schließt das Einfallstor für Angreifer nicht komplett, da sie bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen könnten. Das BSI rät daher Betreiber von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen. Auch die Sicherheitsexerten des Tech-Portals Golem.de kommen zu diesem Schluss: "Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen."

Wie ein so schwerwiegender Fehler in eine weit verbreitete Software kommen konnte, ist unklar. "Ob das darauf zurückzuführen ist, dass jemand absichtlich manipuliert hat, ist schwer zu sagen", meinte Garbsch. "Auszuschließen ist das nicht." OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.

(Christian Wolf)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang