Super-GAU im Netz
Die Software Open SSL kommt bei zahlreichen Banken und großen Onlinediensten zum Einsatz. Jetzt wurde eine Sicherheitslücke entdeckt. Wie gefährlich diese ist und wie Verbraucher sich schützen können, erklärt der Netzjournalist Jörg Schieb.
Stephan Karkowsky: Der Netzjournalist Jörg Schieb ist uns zugeschaltet, er soll uns aufklären über eine offenbar gravierende Sicherheitslücke im Internetdatenverkehr. Herr Schieb, guten Tag!
Jörg Schieb: Guten Tag!
Karkowsky: Zunächst sollten wir erklären, was überhaupt passiert ist. Wer hat da wo eine Sicherheitslücke entdeckt?
Schieb: Es gibt ja viele Sicherheitsfirmen oder auch Firmen, die auf IT-Sicherheit spezialisiert sind, die immer wieder gucken: Was gibt es für Software, wie wird die benutzt, gibt es da Sicherheitslecks? Die machen nichts anderes, weil sie nämlich Schutzsoftware entwickeln wollen, um solche Sicherheitslecks letztlich zu stopfen. Und da hat eine Firma, die sich Codenomicon nennt – die arbeitet für und mit Google zusammen, mit einem Google-Entwickler auch zusammen –, dieses Problem entdeckt, und zwar in einer Software, die frei zugänglich ist, also die jeder im Grunde genommen nutzen kann, und das macht diese Software auch so populär, Open SSL, die haben diese Lücke vor einigen Tagen entdeckt und dann natürlich auch gleich Alarm geschlagen.
Karkowsky: Diese Software soll auf jedem zweiten Computer ungefähr drauf sein. Ist das wirklich der größte anzunehmende Unfall des Internets, also der Super-GAU?
Schieb: Das kann man wirklich so sagen, weil das wirklich eine Software ist, die in vielen Betriebssystemen, in vielen Programmen, die wir benutzen, egal ob auf dem Smartphone, im Smart-TV, auf dem Computer, Tablet, aber selbstverständlich auch auf Servern im Internet zum Einsatz kommt. Das ist quasi Schwarzbrot, jeder benutzt es, jeder hat es. Es gibt zwar Alternativen dazu, aber Open SSL, also diese Software, die hier das Problem hat, die wird ganz, ganz häufig eingesetzt, zum Beispiel auch bei Webservern, also die Software, die man benutzt, um auf einem Computer Webseiten präsentieren zu können, die wir im Internet dann abrufen können. Auch die benutzt diese Software im Untergrund, um verschlüsselte Datenverbindungen anbieten zu können und jetzt haben wir den Salat: All die Software, die diese Grundsoftware sozusagen verwendet, hat ein Sicherheitsproblem.
Karkowsky: Das ist ein schönes Wort, Grundsoftware – das ist ja keine von diesen Software-Typen, die ich persönlich mir auf meinen Computer drauflade, das ist für gewöhnlich schon im Internet oder im Betriebssystem drin. Was genau macht das Open SSL?
Erst Heartbeat - jetzt Heartbleed
Schieb: Open SSL ist dazu da, um eine sogenannte vertrauenswürdige Verbindung zwischen zwei Computern herzustellen und diese Datenverbindung auch noch zu verschlüsseln, sodass man sie nicht abhören kann, also eine ganz wichtige Basisfunktion, die wir täglich immer wieder benutzen, wenn wir zum Beispiel uns irgendwo einloggen, also Benutzername und Kennwort eingeben. Da sind wir ja darauf gebrieft, darauf zu achten: In der Adresszeile soll https – "s" wie "sicher" – stehen, und genau dann, wenn das passiert, wird Open SSL im Hintergrund genutzt, um diesen Kanal zu verschlüsseln und die Daten so zu chiffrieren, dass sie niemand abhören kann. Mein Computer und der andere Computer, die unterhalten sich und haben eine gemeinsame Sprache entwickelt, einen Schlüssel tauschen die aus, und das soll eigentlich dazu dienen, dass da nichts passieren kann.
Karkowsky: Ist ja besonders fatal. Einen schönen Namen hat diese Lücke auch schon, die Experten nennen sie nämlich Heartbleed, also Herzbluten. Warum denn das?
Schieb: Deswegen, weil das ein schönes Wortspiel ist, weil das Sicherheitsproblem genau dort entdeckt wurde, in einem Bereich von Open SSL, der den Namen Heartbeat hat, also Herzschlag. Der Name ist deswegen gewählt, weil das eine Funktion ist, die dafür sorgt, dass die Kommunikation zwischen den beiden Computern, wenn die eben verschlüsselt erfolgen soll, auch dauerhaft bestehen bleibt, also quasi im Rhythmus von einem Herzschlag wird immer wieder überprüft: Besteht die Verbindung noch, ist sie noch sicher, sind die Datenschlüssel, die da verwendet werden, ausgetauscht, hat alles seine Richtigkeit? Also diese Funktion Heartbeat, die genau hat das Problem, hat das Sicherheitsleck, und deswegen dieses kleine Wortspiel Heartbleed, Herztropfen oder Herzbluten.
Karkowsky: Was genau können Gauner denn auslesen aus dieser Sicherheitslücke, welche Daten können sie damit abfangen und was können sie damit anfangen?
Schieb: Das Problem ist jetzt in der Tat, dass Hacker, wenn sie dieses Problem kennen und sie finden einen Computer, insbesondere natürlich einen Server, der diese Open-SSL-Software im Hintergrund benutzt – so was kann man testen, relativ leicht rausfinden –, dann können die Zugang bekommen zu dem Speicherbereich, also jetzt nicht gleich zur Festplatte und allem, was auf der Festplatte gespeichert ist, aber doch zum Arbeitsspeicher, also dem Speicher, den der Computer verwendet, um Daten zwischenzuspeichern und auszutauschen. Und die können da dann reingucken und dann Adressbereiche von 64 Kilobyte – das ist eine ganze Menge, 64.000 Zeichen nämlich – auslesen, was da steht.
Und das können dann die Daten sein, die wir genau dem Server übertragen haben, die wir ihm anvertraut haben, sogar verschlüsselt übertragen haben, aber weil sie dann dort entschlüsselt werden, sind sie dort im Klartext, also in Klarschrift zu lesen. Das können Passwörter sein, E-Mail-Adressen aber auch Kennwörter, Kreditkarteninformationen und, und, und. All das wäre möglich, weil all das natürlich auf dem Computer, mit dem ich kommuniziere, im Klartext vorliegen muss, damit er das verarbeiten kann.
Und so lange das nicht schon gelöscht wurde, kann man es auslesen, also das heißt: Daten von jetzt, von vor einer Minute, aber auch teilweise von vor einigen Tagen, je nachdem, wie oft der Computer angesprochen wird, könnten auf diese Art und Weise gelesen werden, ganz zu schweigen, dass auch die Schlüssel, die die Benutzer verwendet haben, auch ausgelesen werden können. Ist ein bisschen komplizierter, aber im Grunde genommen hinterlässt man nicht nur die Daten bei dem anderen Computer, sondern auch den eigenen Haustürschlüssel zum Datensafe, und auch diese Daten könnten die Betrüger auslesen und missbrauchen.
Karkowsky: Sie hören zur Sicherheitslücke bei der Software Open SSL den Computerexperten Jörg Schieb im "Radiofeuilleton". Herr Schieb, diese Lücke – es wird ja noch schlimmer – existiert wohl schon zwei Jahre lang. Kann man rausfinden, ob sie bereits für Datendiebstahl genutzt wurde?
Haben Hacker die Sicherheitslücke schon ausgenutzt?
Schieb: Sie existiert deswegen schon so lange, weil diese Software eigentlich als sehr sicher gegolten hat. Man verändert die ganz, ganz selten, weil die stabil ist, zuverlässig, die hat sich bewährt und deswegen wird sie auch so häufig eingesetzt. Also es ist nicht so wie bei anderen Programmen, dass da im Wochenrhythmus neue Versionen herauskommen. Deswegen gibt es die schon so lange und man verwendet sie auf sehr vielen Computern. Ob sie schon genutzt wurde, diese Sicherheitslücke, das kann man gar nicht mit wirklicher Sicherheit sagen, und zwar deswegen: Wenn man diese Lücke ausnutzt, wenn also ein Hacker wirklich durch diese Hintertür reingeht und Daten klaut, hinterlässt er gar keine Spuren, nicht die geringste. Es bleibt also keinerlei Fingerabdruck zurück.
Und darum kann man das nicht sagen, dass ganz konkret einzelne Rechner schon ausgenutzt oder ausgelesen wurden oder nicht. Man muss wahrscheinlich davon ausgehen. Allerdings ist das Problem ja gerade erst zumindest von den Guten entdeckt worden, und deswegen kann man nur hoffen, dass es von den Bösen noch nicht allzu viele wissen. Man hat keine Werkzeuge jedenfalls bislang gefunden, die das schon ausnutzen.
Karkowsky: Welche Onlineadressen sind denn da konkret betroffen? Gibt es das Problem nur auf kleinen Webseiten oder auch bei den ganz großen Anbietern, Onlinediensten, vielleicht sogar bei Banken?
Schieb: Das gibt es leider überall, weil diese Grundsoftware wirklich von allen benutzt wird, egal ob große Banken oder Geldinstitute, ob große Onlinedienste – wie Flickr zum Beispiel als Fotodatenbank kann man ganz konkret nennen oder Yahoo – sind betroffen, haben das also auch schon bestätigt. Google als großer Anbieter hat das Problem wohl nicht, weil sie diese Verschlüsselung auf eine andere Art und Weise realisiert haben, aber es sind Banken dabei gewesen oder von Banken ist bekannt, dass sie das Problem haben oder hatten, von großen Onlinediensten, selbstverständlich aber auch von ganz kleinen Onlineshops, die auch eine Webserver-Software verwenden, die sie kostenlos beziehen und die eben diese Technologie verwendet. Man ist nicht sicher, groß, klein, namhaft, nicht – spielt keine Rolle, alle können betroffen sein, weil ja auch keiner wirklich einen Fehler gemacht hat. Man war ja davon ausgegangen: Bislang galt diese Sache als wirklich bombensicher.
Karkowsky: Dann kommen wir mal zur Verteidigungsstrategie. Was sollte ich jetzt tun, zunächst als Privatnutzer natürlich – am besten erste mal eine Woche lang nicht mehr ins Internet gehen, bis die die Sache gelöst haben?
Schieb: Das ist ein schwerer Tipp, oder? Wenn man das so in den Alltag integriert hat, fällt das ja wirklich schwer. Aber wahrscheinlich sollte man wirklich erst mal ein bisschen zurückhaltender sein, vielleicht die Onlinebanking-Geschäfte ein bisschen aufschieben, ein, zwei Tage, und, ganz, ganz wichtig: Im Grunde genommen sagen die Experten, man sollte davon ausgehen, dass alles, was ich in den letzten Tagen, Wochen gemacht habe, theoretisch kompromittiert ist, das heißt also, theoretisch könnte es sein, dass diese Daten mitgelesen wurden oder mitgelesen werden.
Darum sollte man seine Passwörter mal wieder ändern. Hat man ja gerade Anfang der Woche erst gemacht, jetzt schon wieder – also das ist gar kein schlechter Tipp, die Passwörter mal anzupassen und vielleicht im Augenblick wirklich nicht ganz so oft auf Webseiten oder Bereiche gehen, wo man sensible Daten, richtig sensible Daten, zum Beispiel Bankinformationen eingibt.
Karkowsky: Gibt es eine Möglichkeit, zu erkennen, ob eine konkrete Webseite oder ein Server das Problem hat?
Was Benutzer jetzt beachten sollten
Schieb: Also nicht mit Augenschein, man kann das nicht im Browser sofort sehen, schon gar nicht auf der Webseite. Aber es gibt durchaus die Möglichkeit, so was rauszufinden. Es gibt eine ganz kleine Webseite von einem italienischen Programmierer, die heißt filippo.io/heartbleed, wenn man diese Adresse eintippt, dann kann man eine Webseitenadresse oder Internetadresse dort eingeben, die man überprüfen möchte, dann sagt einem diese Webseite wiederum, der Onlinedienst: ist schon gefixt, das Problem, oder eben nicht. Man bekommt eine Warnung. Und wenn man es ein bisschen komfortabler haben möchte, gibt es auch als Erweiterung für den Browser zum Herunterladen gratis Chromebleed, nennt sich das, dann wird man direkt gewarnt, wenn man auf Webseiten landet, die im Augenblick noch unsicher sind. Das empfehle ich auch.
Karkowsky: Ist denn die lückenhafte Software mittlerweile repariert, also gibt es jetzt Open SSL für alle in einer neuen Version schon so, dass man sagen kann, in ein, zwei Tagen werden alle großen Institutionen das Update fertig haben?
Schieb: Ja, das Update für die Servertechnologie steht zur Verfügung, das ist Version 1.0.1.g, "g" wie "gesund", kann man sich wirklich merken, und das ist schon verfügbar. Jetzt müssen die Administratoren das aber auch wirklich integrieren in ihre Software, in ihre Betriebssoftware. Darüber hinaus sollten sie auch noch hingehen und ein bisschen aufräumen, sie müssen mit dem Besen da durch, den Speicher leer machen, die Zertifikate, wie das in der Fachsprache heißt, austauschen und erneuern, weil diese Zertifikate eben auf der alten Version dann problematisch sein könnten, also dann muss man quasi einen Neustart machen.
Aber die Benutzer müssen im Grunde genommen ganz Ähnliches machen, auch sie müssen gucken: Gibt es neue Versionen von der Software, mit denen sie online gehen, Browser, E-Mail-Software, Banksoftware? Auch diese Software wird in Zukunft mit Sicherheit aktualisiert, da werden Updates angeboten. Und auch die muss man dann herunterladen und die installieren und neu starten, damit man ganz sicher sein kann, dass auch Hacker nicht in den eigenen Computer eindringen können und da eventuell Daten auslesen.
Karkowsky: Ja, man könnte aber auch zum Fatalist werden und sagen, jetzt sind so oft schon ganze Datenbanken gestohlen worden von Passwörtern, mit denen Gangster Zugriff bekommen könnten auf meine Banken und so weiter, und jetzt auch noch dieses Problem – Herr Schieb, wird das Internet nie ein wirklich sicherer Platz sein?
Schieb: Das Leben ist ja auch kein sicherer Platz, das muss man ja fairerweise schon sagen. Also hundertprozentige Sicherheit kriegt man nirgendwo geboten. Das gilt leider auch fürs Internet. Aber es werden immer wieder Bemühungen unternommen, um das Netz sicherer zu machen. Es gibt zum Beispiel eine Möglichkeit, Onlinekonten durchaus besser abzusichern, das ist eine Methode, die nennt sich Zwei-Wege-Authentifizierung, das bieten viele an, Dropbox, Facebook, Twitter, Microsoft, viele andere, muss man nur selber aktivieren, muss man kennen, und dann benutzt man nämlich neben dem Benutzernamen und Passwort auch noch sein Handy und erzeugt da einen Code, so ähnlich wie beim Homebanking mit einer TAN-Liste, erzeugt man jedes Mal einen anderen Code, gibt den ein und hat quasi zwei Schlüssel zum Aufschließen. Und wenn ein Hacker jetzt mein Passwort in die Hände bekommt, kann er nicht an mein Onlinekonto ran, weil er ja nicht mein Handy in den Händen hält. Und solche Technologien, die wird es in Zukunft sicher verstärkt geben und es dann den Datendieben deutlich schwerer machen. Aber auch da – hundertprozentige Sicherheit werden wir da vermutlich auch nicht haben.
Karkowsky: Zur Sicherheitslücke bei Open SSL, dem Super-GAU im Internet, der Computerexperte Jörg Schieb. Ihnen herzlichen Dank!
Schieb: Danke!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio Kultur macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.