Sicherheitsmanagement, Risikomanagement

Heartbleed – Weckruf für die Großen des Internets

Von: Arne Schönbohm

Anfang April 2014 wurde bekannt, dass eines der am meisten verbreiteten Verschlüsselungsprotokolle im Internet einen schwerwiegenden Programmierfehler aufweist: Der Heartbeat-Bug stellt eine der größten Sicherheitslücken im Internet der letzten Jahrzehnte dar. In diesem Artikel werden Hintergrund und Umfang des Heartbeat-Bugs sowie die Konsequenzen für die Entwicklung von Verschlüsselungsprotokollen im Internet erläutert.

Der Heartbeat-Bug ist ein schwerwiegende Sicherheitslücke in der Open-Source Sicherheitssoftware OpenSSL. Dieses Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet wird von zahlreichen Diensten verwendet, wie z.B. Webservern, Online-Banking und Instant-Messaging-Diensten. Die Sicherheitslücke in OpenSSL ermöglicht es potenziellen Angreifern, über das Internet den Speicher fremder Systeme auszulesen und so an Passwörter sowie private Kommunikation zu gelangen. Darunter fallen z.B. Zugänge zu E-Mail-Accounts oder Kreditkartendaten.

Bild: © wwwebmeister - Fotolia.com

Da OpenSSL von zahlreichen Internetdiensten verwendet wird und die Sicherheitslücke mehr als zwei Jahre unentdeckt blieb, wurde der Heartbeat-Bug von Experten als katastrophal bewertet (Schneier 2014). Entstanden ist die Sicherheitslücke durch einen Programmierfehler eines deutschen Entwicklers, welcher am OpenSource-Projekt OpenSSL mitgearbeitet hatte. OpenSource-Projekte sind in der Regel gemeinnützige Freiwilligen-Projekte, welche den Quellcode ihrer Software offenlegen und damit für jedermann einsehbar machen (= open source). Der deutsche Mitarbeiter hatte OpenSSL um die sogenannte Heartbeat-Funktion erweitert: Heartbeat (engl. für „Herzschlag“) bestätigt bei einer Netzwerkverbindung zwischen zwei oder mehr Rechnern, dass diese jeweils noch betriebsbereit und verfügbar sind. Der Heartbeat-Bug wird daher auch Heartbleed (engl. für „Herzbluten“) genannt, da über den Programmierfehler das Abschöpfen von Daten möglich geworden ist.

Absicht oder Unachtsamkeit?
Einige Sicherheitsexperten und Programmierer hatten öffentlich gemutmaßt, dass die verantwortliche Person den Programmfehler absichtlich eingebaut habe, um möglicherweise Geheimdiensten das Abschöpfen von Daten zu ermöglichen. Es ist aber nicht unwahrscheinlich, dass die Hintertür schlicht auf einen Programmierfehler und Unachtsamkeit zurückzuführen ist. Ein zweiter Programmierer von OpenSSL, welcher den Programmcode für die Heartbeat-Funktion überprüfen sollte, hatte den Fehler ebenfalls übersehen. Zudem, und darauf weist der verantwortliche Mitarbeiter ebenfalls hin, war der Quellcode von OpenSSL von Beginn an frei einsehbar und so hätte die Sicherheitslücke auch von jedermann entdeckt werden können. Das dies nicht früher geschehen ist, liege wohl schlicht daran, dass zu wenige Programmierer sich den Code angesehen hätten (von Leitner 2014; Horchert 2014).

Entdeckt wurde die Sicherheitslücke dementsprechend auch nicht von der OpenSource-Gemeinschaft, sondern von Sicherheitsexperten von Google und einer IT-Sicherheitsfirma. Nur wenige Fälle, bei denen Heartbleed ausgenutzt wurden sind öffentlich bekannt geworden. So zum Beispiel der Fall eines 19-jährigen kanadischen Hackers, welcher mittels der Sicherheitslücke an die Steuerdaten von 900 kanadischen Bürgern gelangt sein soll. Dennoch kann stark davon ausgegangen werden, dass der Heartbeat-Bug zum Abschöpfen von Daten verwendet worden ist. Die NSA bestreitet von dem Bug gewusst oder diesen genutzt zu haben. Durch die Enthüllungen von Edward Snowden ist jedoch bekannt, dass die NSA gezielt nach Sicherheitslücken sucht und diese zum Extrahieren von Daten benutzt (Reißmann 2014). Ohne gesicherte Kenntnisse kann nur darüber spekuliert werden, wie oft die Sicherheitslücke vor dem öffentlichen Bekanntwerden von Kriminellen und Geheimdiensten ausgenutzt wurden ist. Unwahrscheinlich scheint dies aber nicht.

Maßnahmen der Internetnutzer
Die direkte Auswirkung von Heartbleed war zunächst, dass Internetnutzer dringend alle betroffenen Passwörter ändern mussten, da diese während des Bestehens des Bugs potenziell abgefischt worden sein konnten. Die Betreiber von Webseiten und anderen Internetdiensten mussten zudem rasch die fehlerhaften Sicherheitsprotokolle austauschen, um damit die Lücke zu schließen.

Wie aber können in Zukunft ähnlich gravierende Sicherheitslücken verhindert werden? Zwar wurde der Bug von privaten Unternehmen entdeckt, Kritik am OpenSource-Projekt OpenSSL wurde jedoch kaum geäußert. OpenSource-Projekte sind seit jeher ein wichtiger Bestandteil bei der Entwicklung des Internets. Andere bekannte Beispiele sind der Browser Firefox oder das Betriebssystem Linux. Die starke Verbreitung von OpenSSL im Vergleich zu kommerziellen Lösungen hat nachvollziehbare Gründe: OpenSSL bot eine vergleichbare Qualität an, wie kostenpflichtige Produkte. Anders als diese war OpenSSL jedoch kostenlos und damit gerade für kleinere Unternehmen attraktiver. Eine freie Lösung konnte zudem durch eine Standardisierung finanzielle Einsparungen möglich machen. Zuletzt gibt es im Hinblick auf die Sicherheit keinen Qualitätsunterschied zwischen OpenSource- und kommerzieller Software. Auch kostenpflichtige Produkte sind keineswegs fehlerfrei. Die immer wieder auftretenden Sicherheitslücken in Softwareprodukten von z.B. Microsoft und Apple belegen dies.

Konsequenzen
Die großen Softwareunternehmen scheinen diese Einschätzung zu teilen. Nach Bekanntwerden von Heartbleed folgte man dem Aufruf des OpenSSL-Projektes nach finanzieller Unterstützung: Unter anderem haben sich die Firmen Google, Cisco, Dell, Facebook, Amazon, IBM und Intel bereiterklärt, für mindestens drei Jahre jeweils 100.000 US-Dollar an das Projekt zu spenden. So sollen etwa 4 Millionen US-Dollar bereitgestellt werden. Gleichzeitig soll die Unabhängigkeit von OpenSSL erhalten bleiben (Brodkin 2014). Die Unternehmen versprechen sich davon, dass Sicherheitslücken wie Heartbleed in Zukunft durch größere personelle Ressourcen vermieden werden können. Viele dieser Firmen sind auf eine funktionierende und vertrauenswürdige Kommunikation im Internet für ihre Geschäftsmodelle angewiesen.

Eine andere Möglichkeit um Sicherheitslücken schneller zu entdecken sind sogenannte „Bug Bounties“, also Prämien für das Entdecken von Sicherheitslücken. Firmen wie die Telekom, Yahoo, Facebook, Microsoft oder Google zahlen dabei festgelegte Prämien für das Entdecken von Bugs in Webseiten oder Programmen aus (Biermann 2013). Auch hier gilt das Prinzip: Viele Augen sehen mehr. Die Prämie soll dabei den finanziellen Anreiz bieten, einen genaueren Blick auf die Produkte eines Unternehmens zu werfen.

Zu guter Letzt werden Verschlüsselungsprotokolle weiter entwickelt und damit potentiell sicherer. Jüngere Entwicklungen wie DANE oder DNSSEC/TLSA Validator versuchen verschiedene Schwachstellen der SSL-Verschlüsselung zu beseitigen und so die Kommunikationssicherheit im Internet zu erhöhen.
Heartbleed ist weniger als Warnschuss, denn als Super-GAU für die Architektur des Internets zu bewerten. Jede Krise birgt jedoch auch Chancen. Im Falle von Heartbleed ist diese, dass die großen Software-Unternehmen und Internetdienstleister mehr in die Sicherheit des Internets investieren werden. Programmierfehler wie der Heartbeat-Bug werden sich vermutlich auch in Zukunft nicht vermeiden lassen. Es wäre jedoch bereits viel gewonnen, wenn bei der nächsten gravierenden Sicherheitslücke nicht wieder zwei Jahre bis zur Entdeckung vergehen müssen.

 

Quellen:

Biermann, Kai (2013): Kopfgeldjagd im Internet
www.zeit.de/digital/datenschutz/2013-09/bug-bounty-hack

Brodkin, Jon (2014): Tech giants, chastened by Heartbleed, finally agree to fund OpenSSL
http://arstechnica.com/information-technology/2014/04/tech-giants-chastened-by-heartbleed-finally-agree-to-fund-openssl/

Horchert, Judith (2014): Internet-Sicherheitslücke: Deutscher programmierte Heartbleed-Fehler
www.spiegel.de/netzwelt/web/heartbleed-programmierer-deutscher-schrieb-den-fehlerhaften-code-a-963774.html

Schneier, Bruce (2014): Heartbleed. In: Schneier on Security
www.schneier.com/blog/archives/2014/04/heartbleed.html

Reißmann, Ole (2014): OpenSSL-Sicherheitslücke: Warum „Heartbleed“ Millionen Web-Nutzer gefährdet.
www.spiegel.de/netzwelt/web/heartbleed-openssl-fehler-verraet-passwoerter-a-963381.html

Von Leitner, Felix (2014): Jetzt. Muss. Jeder. Jedes. Passwort. Ändern!
http://www.faz.net/aktuell/feuilleton/openssl-sicherheitsluecke-jetzt-muss-jeder-jedes-passwort-aendern-12889676.html

22.05.2014

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40