Wenn im Internet Daten sicher übertragen werden sollen, geschieht das meist über SSL, eine Technologie, die eine verschlüsselte Verbindung zwischen einem Computer oder Smartphone und einer Webseite oder einem anderen Onlineangebot ermöglicht. Eine sehr beliebte Software, die diese Verschlüsselung umsetzt, heißt OpenSSL. Sie wird seit Jahren von vielen Anbietern genutzt und zählt laut Experten zur kritischen Infrastruktur. Und genau in dieser Software ist ein Fehler gefunden worden, der einem Super-GAU gleicht, weil er die Verschlüsselung komplett aushebeln kann. Der Name dieser Sicherheitslücke: "Heartbleed".

Seit zwei Jahren besteht dieses Sicherheitsleck bereits, in den vergangenen Tagen wurde es jedoch erst bekannt. Viele Email-Anbieter und Betreiber von Webseiten haben die Lücke nun geschlossen und raten ihren Nutzern zur Passwortänderung. Die Identität des Entwicklers, der den Fehler verursacht hat, ist bekannt - er kommt aus Deutschland. Ob Motivationen eines Geheimdienstes dahinter stecken oder es einfach nur ein Programmierfehler war, ist jedoch noch unklar, trotz der gestrigen Veröffentlichung des Nachrichtendiensts Bloomberg, die NSA wisse schon seit Jahren von der Lücke. Es wird gerätselt: Ist Heartbleed ein Fehler oder ein Geheimdienstangriff?

Die Software jedenfalls hinter dem Heartbleed-Leck ist Open Source, theoretisch hätten also viele geschulte Augen den Fehler entdecken können oder gar müssen. Da drängt sich eine Frage auf: Funktioniert das Konzept Open Source nicht, wenn es um Sicherheit geht?Unser Kollege Philip Banse hat erst vor wenigen Wochen zum Thema Open Source u.a. auch über Sicherheit hier bei Breitband diskutiert. Wir sprechen nun mit ihm über die Möglichkeiten, solche Sicherheitsrisiken zu minimieren, und wie Nutzer sich jetzt noch schützen können und sollen.

Foto: "Heart Padlock" von MsSaraKelly, CC BY 2.0