Berlin. .
Sicherheitsexperten warnen seit Tagen vor einem fatalen Fehler in der weit verbreiteten Verschlüsselungs-Software OpenSSL. Nun wurde bekannt: Der fehlerhafte Software-Code, der die „Heartbleed“ genannte Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann. „Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen“, erklärte er in einer E-Mail an „Spiegel Online“. Der Fehler an sich sei „ziemlich trivial“.
Nach Auftauchen des Problems war unter anderem spekuliert worden, der US-Geheimdienst NSA könnte seine Finger im Spiel gehabt haben. Unter den jüngsten Enthüllungen war auch bekanntgeworden, dass die NSA die Verschlüsselung ins Visier genommen habe. Der fehlerhafte Code in OpenSSL bestand seit rund zwei Jahren.
Zahlreiche Internetseiten betroffen
Hunderttausende Websites waren betroffen. Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen. Google gab bekannt, dass u. a. die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play mit Updates sicher gemacht worden seien. Auch deutsche Banken schließen Sicherheitslücken. In Kanada wurde die Möglichkeit gestoppt, Steuererklärungen online einzureichen.