taz.de -- Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler

Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert wird.
Bild: So geht das also mit dem Passwortklau.

BERLIN taz | Verschlüsselungssoftware schützt vor Datenklau im Internet. Zumindest sollte sie das tun. Dass auch diese Software keineswegs unfehlbar ist, zeigt unter anderem die nun bekannt gewordene Sicherheitslücke „Heartbleed“ in der Verschlüsselungssoftware OpenSSL. So gut wie jeder Internetnutzer ist von dieser Schwachstelle betroffen. Entsprechend aufgeregt sind die Reaktionen im Netz.

Twitter-Nutzer gehen die Sache vor allem praktisch an und verbreiten den Aufruf, [1][alle Passwörter zu ändern] sowie [2][Listen mit OpenSSL-Seiten]. Auch beliebt ist [3][dieser Comic], der erklärt, wie der „Heartbleed"-Bug funktioniert.

Viele beschäftigt die Frage, was hinter der Sicherheitslücke steckt. Fans von Verschwörungstheorien sahen sofort die NSA am Werk: „Was, wenn [4][heartbleed] ein groß angelegter NSA-Schachzug ist, um an neue Passwörter ran zu kommen?“, [5][fragt @iCaramba]. Inzwischen hat sich herausgestellt, dass „Heartbleed“ durch den Fehler des Programmierers zustande kam. „Der Fehler an sich ist ziemlich trivial“, schrieb dieser in einer [6][Email an Spiegel Online]. Für den [7][Twitternutzer @FlorianHeigl] ist das der „Satz des Jahres.“

Zunächst schien die gesamte Twitter-Gemeinde sich einig, dass es sich bei dem Schuldigen um einen Programmierer aus Deutschland handele. Ein Trugschluss, wie der [8][Tweet von @bov] belegt: „Das war kein Deutscher, der [9][Heartbleed] programmiert hat! Das war ein Österreicher!“ – eine Steilvorlage für Hitlervergleiche? Die funktionieren auch auf anderer Ebene. [10][@helpnetsecurity schlägt vor]: „Inzwischen ist Heartbleed so groß, dass jemand eine Hitler-Video-Parodie darüber machen müsste. Internet, was sagst du dazu?“

Hinter dem Spekulieren über Verschwörung und NSA (und Hitler) tritt für manche eine wichtige Frage zurück: Wie viel bringt Open Source? Nutzerin [11][@hanhaiwen kommentiert]: „Verschwörungstheorien statt der Frage, warum die Open-Source-Idee versagt hat. Souveräne Reaktion, liebes Internet, souverän! [12][heartbleed]“. [13][@benni_b] hält dagegen: „[14][@hanhaiwen] wer sagt denn, dass sie versagt hat? Der Fehler wurde ja gefunden. In den proprietären Counterparts sind ähnliche Fehler noch da.“ Auch der Mittelweg findet seine Unterstützer, so [15][zum Beispiel @pfefferminz]: „[16][@hanhaiwen] ich glaube nicht, dass die Idee versagt hat, sondern eher die Umsetzung.“

[17][So sieht das auch @sebaso]. Für ihn bestätigt „Heartbleed“ ein „klassisches 'wenn alle verantwortlich sind (weil jeder Code anschauen *könnte*) ist es am Ende niemand'-Problem.“ Die Diskussion um die Sicherheitslücke und die Lehren, die die Netzgemeinde daraus zieht, wird jedoch auch mit Humor geführt. [18][@mspro schlägt für den künftigen Umgang] mit den Codes vor: „Ich finde [19][@jensbest] sollte den Code vorlesen. Er hat eine gute Vorlesestimme.“ Der [20][Nutzer @br3t] kann sich bildlich vorstellen, wie eine Prüfung des OpenSSL-Codes aussehen könnte – und [21][verlinkt auf dieses Gif].

Praxisorientiert ist auch die [22][Überlegung von @AlexSchestag], der offenbar all seine Passwörter geändert hat: „Überlege, dem Verursacher von [23][Heartbleed] eine Rechnung für den Aufwand zu schicken.“

Manch einer, [24][so wie @lettigem], gibt sich hingegen resigniert: „Früher, als die ganzen Sicherheitslücken nicht so publik gemacht wurden, war das Leben irgendwie einfacher. [25][heartbleed]“

11 Apr 2014

LINKS

[1] http://twitter.com/EtienneToGo/status/454551734392979456
[2] http://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
[3] http://twitter.com/xkcdComic?original_referer=http%3A%2F%2Fwww.stern.de%2Fdigital%2Fonline%2Fgravierende-sicherheitsluecke-dieser-comic-erklaert-wie-heartbleed-funktioniert-2102842.html&tw_i=454501665912414208&tw_p=tweetembed
[4] https://twitter.com/search?q=%23heartbleed&src=hash
[5] http://twitter.com/iCaramba/status/454542170561974272
[6] http://www.spiegel.de/netzwelt/web/heartbleed-programmierer-deutscher-schrieb-den-fehlerhaften-code-a-963774.html
[7] http://twitter.com/FlorianHeigl1/status/454384295420104704
[8] http://twitter.com/bov/status/454517817350819841
[9] https://twitter.com/search?q=%23Heartbleed&src=hash
[10] http://twitter.com/helpnetsecurity/status/454185412261855232
[11] http://twitter.com/hanhaiwen/status/454327914772045824
[12] https://twitter.com/search?q=%23heartbleed&src=hash
[13] http://twitter.com/benni_b/status/454331385969647616
[14] https://twitter.com/hanhaiwen
[15] http://twitter.com/pfefferminz_/status/454337277700096000
[16] https://twitter.com/hanhaiwen
[17] http://twitter.com/sebaso/status/454553015065001984
[18] http://twitter.com/mspro/status/454546748862918656
[19] https://twitter.com/jensbest
[20] http://twitter.com/br3t?refsrc=email
[21] http://i.imgur.com/yExHzr7.gif
[22] http://twitter.com/AlexSchestag/status/454509326011748353
[23] https://twitter.com/search?q=%23Heartbleed&src=hash
[24] http://twitter.com/lettigem/status/454308071805050881
[25] https://twitter.com/search?q=%23heartbleed&src=hash

AUTOREN

Dinah Riese

TAGS

Heartbleed
Open Source
Verschlüsselung
Sicherheitslücken
Twitter / X
Big Data
Passwort
Finanzen
Heartbleed
Heartbleed
Heartbleed
Schwerpunkt Überwachung
Handy
NSA
Edward Snowden

ARTIKEL ZUM THEMA

Kommentar Datenschutz Unternehmen: Vertrauen ist schlecht

Unternehmen werben gerne mit Vertrauen, das man in sie investieren könne. Doch gerade beim Datenverkehr gilt: Sicherheit ist besser.

Sichere und merkbare Passwörter: x!FdD´Px3+UWG8.a

Geknackte SSL-Verbindungen erinnern uns daran: Ein Passwort muss sicher sein. Und man sollte es sich merken können. Wie geht das zusammen?

„Heartbleed“ und Open-Source-Software: Sicherheit kostet

Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme schaffen.

Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest

Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen.

Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?

Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für Geheimdienste.

Sicherheitslücke im Netz: „Heartbleed“ geht alle an

Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel.

Verschlüsselung im Alltag: „Der Mehrgewinn ist vielen nicht klar“

Verschlüsselung ist oft von „Geeks für Geeks“ konzipiert und für Laien schwer zu verstehen. Dabei wären auch einfache Lösungen möglich.

Datensicherheit auf dem Handy: Ein Schloss fürs Smartphone

Es tut sich was auf dem Markt der verschlüsselten mobilen Telefonie. Doch nicht nur die Preis-, auch die Qualitätsunterschiede sind groß.

Liste von Reporter ohne Grenzen: NSA wird Internet-Feind

Die Journalistenvereinigung Reporter ohne Grenzen benennt jährlich die gefährlichsten „Feinde des Internets“. Diesmal auf der Liste: westliche Geheimdienste.

Botschaft von Snowden: So einfach wie möglich

Edward Snowden sprach per Video mit Besuchern des Technologie-Treffens „South by Southwest“. Er rief zum Widerstand mit den Mitteln der Technik auf.