Die Blutung ist noch nicht gestoppt. An Heartbleed, wie die vor wenigen Tagen entdeckte Sicherheitslücke in der weitverbreiteten Verschlüsselungssoftware OpenSSL genannt wird, leiden laut Arge Daten in Österreich nach wie vor "einige tausend Webserver". Auffällig sei dabei der hohe Anteil von Servern aus dem öffentlichen Schul- und Bildungswesen.

"Wir informieren betroffene Schulen über die Schwachstelle, um Updates müssen sie sich selbst kümmern", sagte dazu Christian Panigl vom Bildungsnetz Aconet der Universität Wien am Montag zum Standard. Eine Regelung oder Verpflichtung, Updates tatsächlich einzuspielen, gebe es nicht. Die Wartung obliege der jeweiligen Schule. 

Ferien

Auch wegen der Osterferien könnten also vorerst zahlreiche Schulserver weiterhin ungesichert bleiben. Eine vertrauliche Stichprobenüberprüfung durch eine IT-Sicherheitsfirma am Wochenende hat laut Arge-Daten-Obmann Hans G. Zeger außerdem gezeigt, dass auch noch einige hundert Server von Behörden, Bundes- und Landesstellen sowie zahlreiche Gemeinden mit unsicheren Serverinstallationen "glänzen". Nach Informationen des Standard sind mindestens noch 2400 Server in Österreich betroffen.

Schadenersatz

Der Datenrechtler weist darauf hin, dass es eine Pflicht zur unverzüglichen Beseitigung der Lücke gebe. Im konkreten Fall sei die Schwachstelle relativ einfach zu beheben, daher müsse sie eigentliche auch innerhalb eines Tages geschlossen werden. Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen, so Zeger. Betreibern, die nicht unverzüglich reagieren, drohten Schadenersatz und Verwaltungsstrafen.

Wie berichtet, betrifft das Sicherheitsleck weltweit hunderttausende Webseiten und Millionen von Usern. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen - zum Beispiel Passwörter, mit denen dann wiederum weitere Zugänge und vertrauliche Informationen geknackt werden können. Die digitale Diagnose Heartbleed ist von der Heartbeat-Funktion abgeleitet, die im Hintergrund eigentlich die Teilnehmer einer verschlüsselten Kommunikation verbindet.

Große Internetdienste wie Google oder Yahoo haben die Schwachstelle bereits gestopft. Auch die Sparkasse hat mit einem Update das Online-Banking wieder sicher gemacht. Kunden müssen aber ihre Passwörter ändern.

NSA dementiert

Der US-Geheimdienst NSA hat inzwischen Medienberichte zurückgewiesen, schon längere Zeit von Heartbleed gewusst und zur Informationsbeschaffung ausgenutzt zu haben. "Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese öffentlich gemacht wurde", erklärte NSA-Sprecherin Vanee Vines. Wenn die Regierung die Schwachstelle entdeckt hätte, wäre dies den Verantwortlichen mitgeteilt worden, hieß es auch im Nationalen Sicherheitsrat.

Die New York Times wiederum berichtet, dass US-Präsident Barack Obama der NSA zugestanden habe, Sicherheitslücken im Internet unter gewissen Umständen verschweigen und ausnutzen zu dürfen. Dies sei aus zwingenden Gründen der nationalen Sicherheit gerechtfertigt.

Offen ist noch, ob es Konsequenzen für den deutschen Programmierer gibt, der für die Lücke verantwortlich sein soll. Der Fehler sei "ziemlich trivial" gewesen. "In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", wird er auf Spiegel.de zitiert. (simo; sum, DER STANDARD, 15.4.2014)