Es ist so etwas wie der Super-GAU für die Sicherheit von Verschlüsselungen im Netz. Sicherheitsforscher haben in der weit verbreiteten Software OpenSSL einen Fehler entdeckt, der Server dazu bringen kann, ihr größtes Geheimnis preiszugeben: Den privaten Schlüssel. Betroffen davon ist ein großer Teil der Server im Netz, aber auch eine unüberschaubare Zahl von anderen Anwendungen. Was Experten und Systemadministratoren gerade in Schnappatmung versetzt, geht deshalb auch ganz normale Internetnutzer an.

Obwohl der Name OpenSSL vielen Internetnutzern nicht bekannt sein dürfte: Praktisch jeder nutzt diese Software auf die ein oder andere Weise. Für verschlüsselte Verbindungen kommt üblicherweise die SSL-Technologie zum Einsatz, man erkennt sie zumeist an dem https:// in der Adresszeile des Browsers.

Diese Verbindungen nutzen wir quasi täglich: Beim Abrufen der E-Mail, beim Einkaufen in Online-Shops, beim Onlinebanking. Und fast überall, wo im Netz Verbindungen mit dem SSL-Protokoll abgesichert werden, ist dabei OpenSSL im Spiel.

Das Verschlüsselungstool OpenSSL ist eine freie Software, das bedeutet, dass jeder kostenlos den Code in eigenen Programmen verwenden darf. OpenSSL hat dabei eine besonders liberale Lizenz: Sogar kommerzielle Programme können den Programmcode kostenlos einsetzen.

Viele Softwareentwickler sparen sich deshalb die Entwicklung eines eigenen Verschlüsselungscodes und setzen lieber auf das beliebte OpenSSL. Das betrifft in erster Linie Websites mit dem erwähnten HTTPS, aber auch E-Mail-Server, Update-Services von Betriebssystemen und vieles mehr. Einer aktuellen Server-Studie zufolge nutzen knapp zwei Drittel aller aktiven Webserver Software, die OpenSSL enthält.

Angriff auf den heiligen Gral der Verschlüsselung

Die Sicherheitsforscher der finnischen Firma Codenomicon entdeckten das Problem, nahezu gleichzeitig stieß auch ein Google-Angestellter bei einer Analyse von OpenSSL darauf. Die Entdecker tauften ihre Sicherheitslücke "Heartbleed" – ein Wortspiel, denn das Problem befindet sich in einem Code für eine SSL-Erweiterung namens Heartbeat.

Seit zwei Jahren schon schlummert der Fehler im Code von OpenSSL. So lange hätte er also schon ausgenutzt werden können. Ob das passiert ist, lässt sich im Nachhinein nicht mehr feststellen.

Die Auswirkungen, wenn ein Server von dem Problem betroffen ist, könnten kaum größer sein. Ein Angreifer kann dann den privaten Schlüssel des Servers auslesen. Der private Schlüssel ist so etwas wie der heilige Gral der Kryptografie. Die gesamte Sicherheit einer Verschlüsselung basiert darauf, dass niemand unbefugten Zugriff auf den privaten Schlüssel erhält. Der private Schlüssel ermöglicht einem Angreifer, die Daten einer vermeintlich sicheren Verbindung mitzulesen oder sich als dieser Server auszugeben. Auch verschlüsselte Daten, die ein Angreifer bereits in der Vergangenheit abgegriffen hat, lassen sich damit oftmals nachträglich knacken. Der Kryptografie-Experte Matt Blaze drückt es so aus: "Heartbleed ist ein seltener Bug: Er führt dazu, dass eine Krypto-Bibliothek mehr Daten preisgibt, als sie schützen soll. Damit ist sie schlechter als gar keine Kryptografie."