Der Bericht wurde bereits kurz nach Erscheinen am Freitagabend von den Behörden dementiert. Nach Angaben der Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, habe die Regierung erst in diesem April von "Heartbleed" erfahren. Zudem sei die Software auch von US-Behörden eingesetzt worden. OpenSSL ist eine Verschlüsselungssoftware, die weltweit von zahlreichen Websites und E-Mail-Servern verwendet wird. Betroffen sind unter anderem Facebook, Instagram, Googlemail und Yahoo.

Anfang April war bekannt geworden, dass es Angreifern aufgrund einer Sicherheitslücke in dem Programm möglich gewesen ist, auf kleine Teile des Hauptspeichers von Rechnern zuzugreifen. Die Funktion, in der der Fehler liegt, heißt "Heartbeat" (Herzschlag), weshalb die Schwachstelle in Anspielung darauf "Heartbleed" (Herzbluten) genannt wird.

Netzpolitiker fordern Reaktionen auf "Heartbleed"-Leck

Führende Netzpolitiker aus Koalition und Opposition haben politische Konsequenzen aus der Entdeckung des Sicherheitslecks "Heartbleed" gefordert. Dass "Heartbleed" sich in die Reihe mehrerer Sicherheitslücken der jüngsten Zeit einreiht, zeige politischen Handlungsbedarf, sagte der netzpolitische Sprecher der SPD-Fraktion im Bundestag, Lars Klingbeil, der "Frankfurter Rundschau" (Samstag). "Die Politik muss sich um die Verbesserung von IT-Sicherheit, Aufklärung und Vorbeugung bemühen", forderte er. Dazu seien bereits gesetzliche Schritte in Vorbereitung, etwa die Verabschiedung eines IT-Sicherheitsgesetzes, so Klingbeil.

Außerdem müsse etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt werden – und zwar auch personell. Zwar verfüge das BSI bereits über viel Kompetenz und Know-how, um schnell auf aufgedeckte Sicherheitslecks reagieren zu können. "Darüber hinaus brauchen wir aber auch noch mehr Aufklärung und Information für die Bürger und die Unternehmen in Deutschland", sagte Klingbeil der "Frankfurter Rundschau".

Um die IT-Sicherheit generell zu stärken, müssten Deutschland und Europa zudem im Bereich der IT-Infrastruktur unabhängiger von ausländischen Unternehmen werden. "Hier sollten die deutschen und europäischen Unternehmen gestärkt werden, eigene Wege zu gehen", betonte der SPD-Politiker. Dafür müsse die hiesige Forschung und Entwicklung auch durch die deutsche Politik unterstützt werden. Deutschland müsse sich darüber hinaus stärker in internationalen Standardisierungsgremien engagieren, forderte Klingbeil.

Die Opposition sieht den Verweis auf das BSI skeptisch. "Es wäre naiv zu glauben, eine Behörde wie das BSI könne die Sicherheitskontrolle ganze Quellcodes von Programmen wie Open-SSL übernehmen", sagte der innen- und netzpolitische Sprecher der Grünen-Fraktion, Konstantin von Notz, der "Frankfurter Rundschau". Gleichzeitig zeige der Fall "Heartbleed", welche weltweiten massiven Folgen ein winziges fehlerhaftes Stück Programmcode anrichten kann. "Wir brauchen deshalb eine Diskussion über die Qualitätssicherung bei solchen Standards. Ganz besonders wenn diese kritische Infrastrukturen betreffen", sagte von Notz der "Frankfurter Rundschau".

Ex-Professor des Heartbleed-Programmierers nennt Anschuldigen „absurd“

Nachdem der deutsche Programmierer Robin Seggelmann, der für die Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL verantwortlich war, sich gegen Spekulationen über böswillige Motive verwahrte, stellt sich nun auch sein ehemaliger Professor an der Fachhochschule Münster hinter ihn. Bei Michael Tüxen, Professor an der Fachhochschule Münster im Fachbereich Elektrotechnik und Informatik, war Seggelmann vier Jahre lang wissenschaftlicher Mitarbeiter.

„Er war sehr gut und hat sich nicht nur einmal mit dem OpenSSL-Code beschäftigt, sondern auch vorher schon Fehler korrigiert, deren Korrektur auch angenommen wurde“, sagt Tüxen im Gespräch mit dem Wall Street Journal Deutschland über die Programmierfähigkeiten seines ehemaligen Studenten. Seggelmann habe sich schon lange mit SSL und TLS – der Verschlüsselungstechnik hinter OpenSSL – beschäftigt.

„Er hat längere Zeit an OpenSSL mitgearbeitet – über zwei oder drei Jahre, aber nicht am Stück.“ Den nun weltberühmt gewordenen Fehler Seggelmanns hat sich der Professor ebenfalls genauer angeschaut. „Es war ein Fehler – ein klassischer Fehler. Er passiert vielen – meistens aber nicht mit solchen Konsequenzen.“

„Wir haben nie mit den Geheimdiensten zu tun gehabt" Gerüchten im Internet, Seggelmann habe den Fehler möglicherweise absichtlich für Geheimdienste eingebaut, nannte Tüxen „absurd.“ „Wir als Labor haben nie mit den Geheimdiensten zu tun gehabt, und nach meiner Kenntnis und Einschätzung von ihm glaube ich das absolut nicht. Das war ein ganz normaler Fehler.“

Link zum vollständigen Artikel: http://www.wsj.de/article/SB10001424052702304058204579495461310302766.html

Quelle: dts Nachrichtenagentur / Wall Street Journal Deutschland