Der «Heartbleed»-Fehler im Verschlüsselungsprotokoll OpenSSL, der die Sicherheit von Millionen Webservern kompromittierte, wurde von einem Programmierer aus dem westfälischen Münster verursacht: Der Sicherheitsexperte Robin Seggelmann arbeitete 2011 in seiner Freizeit an dem offenen Softwareprojekt OpenSSL mit und übersah beim Hinzufügen der sogenannten Heartbeat-Funktion eine entscheidende Kleinigkeit: «Ich habe eine neue Funktion hinzugefügt und dabei die Überprüfung einer Längenangabe übersehen», sagte Seggelmann der «Welt».

OpenSSL ist offene Software, viele Experten tragen in ihrer Freizeit zur Weiterentwicklung bei. Wie bei fast jedem sicherheitsrelevanten Projekt gilt auch bei OpenSSL das Vieraugenprinzip: Seggelmanns Beiträge zum Code wurden von einem weiteren Programmierer, dem US-Experten Stephen Henson, überprüft. Doch auch Henson fand Seggelmanns Fehler nicht, er stellte den fehlerhaften Code am ersten Januar 2012 als korrekt in die Codebasis des OpenSSL-Projekts ein.

Flüchtigkeitsfehler blieb lange unentdeckt

Damit nahm das Unheil seinen Lauf: Seggelmanns Code wurde in die fertige Software übernommen, mehr als zwei Jahre lang blieb der Flüchtigkeitsfehler des Münsteraners unentdeckt – bevor er als Heartbleed-Fehler Furore machte und die Sicherheit von Millionen Nutzerkonten im Netz kompromittierte.

Nun werden erste Verschwörungstheorien im Netz debattiert – hat Seggelmann den Fehler eventuell absichtlich verursacht, um Geheimdiensten wie der NSA einen Vorteil bei der Entschlüsselung von mit SSl geschützten Internetverbindungen zu verschaffen?

Anzeige

«Bullrun« heisst das NSA-Projekt zum Unterlaufen vonSSL-Verschlüsselung, das durch die Enthüllungen von Whistleblower Edward Snowden offengelegt wurde.

In den Snowden-Dokumenten wird ausdrücklich auch das absichtliche Einbringen von Fehlern in Verschlüsselungssoftware als Möglichkeit zum Knacken von SSL genannt. «Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor», kommentiert etwa der deutsche Sicherheitsexperte Felix von Leitner in seinem Blog.

War der Fehler doch kein Zufall?

Auch in US-Medien wird darüber diskutiert, dass der Fehler allzu perfekt versteckt war, als dass er durch blossen Zufall hätte entstehen können. Doch im Gespräch mit der «Welt» versichert Seggelmann: «Es handelt sich um einen völlig zufälligen Fehler.» Die Spekulationen darüber, dass der Fehler absichtlich eingefügt sein könnte, überraschen ihn dennoch nicht: «Das war vor dem Hintergrund der NSA-Enthüllungen abzusehen.»

Gegen Anschuldigungen, den «Heartbeat»-Befehl absichtlich kompliziert und mit der an sich unnötigen und für den Fehler ursächlichen «Payload»-Zusatzfunktion gebaut zu haben, verteidigt er sich ebenfalls: «In dem Kontext, in dem der Bug aufgetreten ist, ist der 'Payload' in der Tat nicht notwendig. Aber die Heartbeat Extension hatdiverse Einsatzmöglichkeiten. Dafür wird der Payload benötigt.»

Zu wenige Leute an OpenSSL beteiligt

Seggelmann merkt im Gespräch an, dass selbst so sicherheitsrelevante Projekte wie OpenSSL unter mangelnder Beteiligung leiden: «Je mehr Leute sich den Code angucken, umso besser. Leider gibt es viel zu wenig Leute, sei es privat oder beruflich, die sich an der Verbesserung von OpenSSL beteiligen.»

Anzeige

Investierten mehr Programmierer ihre Freizeit, könnten Fehler wie Heartbleed künftig vermieden werden, so der Programmierer. «Wenn es mehr Beteiligung gäbe, dann könnte man wahrscheinlich auch umfangreichere Review-Prozesse einführen.»

Dieser Artikel ist zuerst in unserer Schwester-Publikation «Die Welt» erschienen.