Heartbleed 14.04.2014, 10:54 Uhr

Wie viel wusste die NSA?

Einem Pressebericht zufolge hatte die NSA schon längere Zeit Kenntnis von der Open-SSL-Lücke Heartbleed. Der Geheimdienst hat dies dementiert. Derweil zieht der Bug weitere Kreise.
Laut Insidern hat die NSA praktisch von Beginn an von Heartbleed gewusst
Der US-Geheimdienst NSA (National Security Agency) hat angeblich seit Längerem von der Sicherheitslcke in OpenSSL, genannt Heartbleed, gewusst. Dies berichtet der Wirtschaftsdienst Bloomberg unter Berufung auf Insider-Angaben. So habe die NSA die Schwachstelle kurz nach Auftauchen des fehlerhaften Software-Codes entdeckt. Die Lücke sei dann zu einem Grundelement des «Werkzeugkastens» des Abhör-Dienstes geworden - zum Beispiel, um Passwörter zu stehlen.

Heftiges Dementi der Regierung

Die US-Regierung hat allerdings inzwischen mit überraschender Deutlichkeit den Bericht von Boomberg dementiert. Die Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der «Heartbleed»-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag. Die US-Regierung verlasse sich ebenfalls auf OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie weiter. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert. Nächste Seite: Auch Apps und Netzwerkgeräte betroffen

Auch Apps und Switches betroffen

Derweil zieht Heartbleed weitere Kreise. So seien auch Apps betroffen, berichtet die IT-Sicherheitsfirma Trend Micro in einem Blog. Viele Apps würden vor allem bei In-App-Käufen auf Webserver zugreifen, welche noch verwundbar sein könnten. So hat Trend Micro 390'000 Apps in Google Play gescannt und herausgefunden, dass gut 1300 der Android-Progrämmchen sich mit Servern in Verbindung setzen, die nicht gepatcht waren. Bis Heartbleed von den verschiedenen Anbietern gefixt ist, empfiehlt die Firma auf solche Einkäufe zu verzichten. Schliesslich können auch Netzwerk-Geräte von Heartbleed betroffen sein. Dies berichten die Hersteller Cisco und Juniper selbst und publizieren entsprechende Hinweise. «Wir werden jedes Gerät überprüfen und entsprechende Informationen liefern», meinte Cisco-Sprecher Nigel Glennie. Bislang geltenlaut dem Hinweis des Netzwerkriesen rund ein Dutzend Netzwerkgeräte als verwundbar, 60 Produkte werden als «betroffen» bezeichnet. Auch auf der Liste von Juniper finden sich gut 10 Produkte die als verwundbar betrachtet werden, darunter Version 13.3R1 des hauseigenen Betriebssystems Junos.



Das könnte Sie auch interessieren