Tage nach dem Bekanntwerden der folgenschweren Sicherheitslücke in der Verschlüsselungssoftware OpenSSL hat sich nun jener Programmierer zu Wort gemeldet, der sie hervorgerufen hat. Dem Deutschen Robin S. wird vorgeworfen, er habe "Heartbleed" absichtlich verursacht, vielleicht sogar in Zusammenarbeit mit der NSA.

"Katastrophal"

Durch das Leck können Angreifer trotz Verschlüsselung Passwörter abfangen. Der Fehler in OpenSSL trifft nicht nur Webserver, VPNs, Mailserver und Chatserver, sondern auch Smartphones mit Android 4.1.1. Weltweit sind zahlreiche Online-Dienste wie Facebook, Yahoo, Gmail und Dropbox betroffen. In Österreich waren unter anderem die Seiten der Wiener Linien, der Erste Bank/Sparkasse und der Wiener Börse betroffen.

Viele Unternehmen haben die Lücke durch Updates bereits geschlossen. Nutzern wird dennoch dringend empfohlen, ihre Passwörter zu ändern. Kryptografie-Experte Bruce Schneier schreibt in seinem Blog, auf einer Skala von eins bis zehn sei "Heartbleed" eine Elf. "Katastrophal" sei das richtige Wort dafür.

OpenSSL-Programmierer

Dass der Deutsche der Verursache von "Heartbleed" ist, war zunächst auf Twitter verbreitet worden. Mittlerweile hat Robin S. in Medien Stellung bezogen. "Spiegel Online" schrieb er in einem E-Mail: "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuen Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen." Auch einem Reviewer des Codes sei das nicht aufgefallen.

"Trivialer" Fehler

Der Fehler sei "ziemlich trivial", ermögliche in seinem Kontext aber "das Auslesen von eigentlich sicheren Daten (da eben die Länge des zu lesenden Speichers nicht geprüft wird). Das ist, was ihn so schwerwiegend macht." Der Fehler existiert in der Open-Source-Software bereits seit zwei Jahren, entdeckt wurde er allerdings erst jetzt.

Verschwörungstheorien

Durch das Web geistern nun Verschwörungstheorien. So wird vermutet, "Heartbleed" könnte absichtlich in OpenSSL eingebaut worden sein, vielleicht sogar als Hintertür für die NSA. In der "Frankfurter Allgemeinen Zeitung" schreibt Sicherheitsberater Felix von Leitner, dass "in Zeiten des Spähskandals" bei solchen Vorkommnissen die Frage naheliege, "ob es sich um eine von den Geheimdiensten herbeigeführte Sabotage-Aktion handelt." Es sei bekannt, dass die Geheimdienste GCHQ und NSA "schwindelerregende Budgets für derartige Projekte haben", so von Leitner. "Verschlüsselungsstandards weltweit zu schwächen und Opfern Wanzen und Hintertüren unterzuschieben ist das Programm." In diesem Fall sei der Code mit dem Fehler aber von einem (damals noch) Studenten aus Deutschland gekommen.

"Nur ein Programmierfehler"

Robin S. bestreitet, dass die Sicherheitslücke vorsätzlich eingebaut wurde. Es sei zwar "verlockend", dahinter eine Absicht zu vermuten, "aber in diesem Fall war es einfach nur ein Programmierfehler einer neuen Funktion, der unglücklicherweise in einem sicherheitsrelevanten Bereich passiert ist", wie er dem "Sydney Morning Herald" sagte. Dass Geheimdienste die Lücke ausgenutzt haben, sei für ihn aber durchaus im Bereich des Möglichen. Es sei besser, vom Schlimmsten auszugehen. Selbst habe er keine Verbindungen zu Geheimdiensten.

Aaron Kaplan vom österreichischen Computer Emergency Response Team (Cert) geht ebenfalls von keiner Absicht aus. "Fehler passieren", sagt der Sicherheitsexperte. Bei OpenSSL handelt es sich um Open-Source-Software. Das bedeutet, dass die Software zur freien Nutzung veröffentlicht wird und von anderen Programmierern verändert werden darf. Der Softwarecode kann theoretisch von jedem überprüft werden. Im Fall von OpenSSL ist der Fehler niemandem aufgefallen. Es gibt jedoch mehrere Initiativen, die sich für eine stärkere Überprüfung freier Software einsetzen.

Rechtliche Konsequenzen

Dass dem Programmierer nun rechtliche Konsequenzen drohen, ist unwahrscheinlich. Da es zwischen dem Entwickler und den Nutzern keine vertraglichen Beziehungen gibt, könne wohl kein Schadenersatzanspruch gestellt werden, sagt Nikolaus Forgó vom Institut für Rechtsinformatik in Hannover. Dafür müsste es sich entweder um einen grob fahrlässigen Fehler oder Vorsatz handeln. Und davon sei im Fall von "Heartbleed" nach derzeitiger Erkenntnis nicht auszugehen. (Birgit Riegler, derStandard.at, 11.4.2014)

Update 17:30: Der Artikel wurde mit den letzten beiden Absätzen ergänzt.