Washington.. Der NSA soll die Sicherheitslücke in der Sicherheits-Software “OpenSSL“ lange für seine eigenen Zwecke ausgenutzt haben. Laut Medienberichten hat der US-Geheimdienst die Lücke genutzt, um Passwörter und andere sensible Daten abzugreifen. Der NSA dementiert die Vorwürfe.

Der US-Geheimdienst NSA hat einen Medienbericht zurückgewiesen, wonach er schon seit Langem von der Internet-Sicherheitslücke "Heartbleed" gewusst hat und diese sogar zur Informationsbeschaffung ausnutzte . "Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese (vor wenigen Tagen) öffentlich gemacht wurde", erklärte NSA-Sprecherin Vanee Vines am Freitag (Ortszeit). Auch der Nationale Sicherheitsrat im Weißen Haus dementierte den Bericht.

Der Bericht sei falsch, erklärte die Sprecherin des Sicherheitsrats, Caitlin Hayden. Wenn die US-Regierung die Schwachstelle vor der vergangenen Woche entdeckt hätte, wäre dies den Verantwortlichen für die Verschlüsselungssoftware mitgeteilt worden. "Diese Regierung nimmt ihre Verantwortung ernst, bei der Bewahrung eines offenen, voll kompatiblen, sicheren und vertrauenswürdigen Internets zu helfen", fügte Hayden hinzu.

"Heartbleed" soll Teil des NSA-Werkzeugkastens gewesen sein

Die Finanznachrichtenagentur Bloomberg hatte unter Berufung auf zwei Informanten berichtet, der US-Geheimdienst habe die Entdeckung der Lücke verschwiegen und die Schwachstelle ausgenutzt, um Passwörter und andere wichtige Daten "zu stehlen". So sei "Heartbleed" Teil des Werkzeugkastens der NSA geworden.

"Heartbleed" (Herzbluten) wird inzwischen repariert. Die Lücke ermöglichte Angreifern den Zugriff auf begrenzte Teile des Arbeitsspeichers von Rechnern. OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Dateneingaben wie Passwörter zu verschlüsseln. Dazu gehören auch bekannte soziale Netzwerke. Schätzungen zufolge nutzen in etwa die Hälfte aller Websites weltweit OpenSSL.

SPD-Experte Klingbeil fordert politische Konsequenzen

Der SPD-Netzexperte Lars Klingbeil forderte politische Konsequenzen aus der Sicherheitslücke. Das Leck reihe sich in mehrere Sicherheitslücken der jüngsten Vergangenheit ein und zeige "politischen Handlungsbedarf", sagte der netzpolitische Sprecher der SPD-Bundestagsfraktion der "Frankfurter Rundschau" vom Samstag. Die Politik müsse sich um die "Verbesserung von IT-Sicherheit, Aufklärung und Vorbeugung" bemühen.

Klingbeil forderte außerdem eine vor allem auch personelle Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Bürger müssten noch besser über die Sicherheitslücken informiert und aufgeklärt werden, sagte er der Zeitung.

Grüne wollen Qualitätskontrolle von Sicherheits-Standards

Der netzpolitische Sprecher der Grünen, Konstantin von Notz, sagte hingegen der "FR", eine einzige Behörde könne unmöglich die Sicherheitskontrolle ganzer Quellcodes von Programmen wie Open-SSL übernehmen. Er forderte vielmehr eine Diskussion über die Qualitätssicherung bei solchen Standards.

Der deutsche Programmierer, der für die Sicherheitslücke verantwortlich ist, verwahrte sich gegen Vorwürfe aus der Netzgemeinschaft, er habe mit Absicht und womöglich gar im Auftrag von Geheimdiensten gehandelt. Er habe bei den Arbeiten an einer Version der Software ein Detail "übersehen", schrieb der Programmierer in einer E-Mail an "Spiegel Online". Der Fehler sei an sich "trivial", seine Auswirkungen seien aber "schwerwiegend". (AFP)