EDITORIAL

摘要

Gerade hat der NSA-Ausschuss die Entscheidung über die Einvernahme von Edward Snowden vertagt, da stellt sich die Frage, ob die NSA auch die Sicherheitslücke der über OpenSSL hergestellten Internetverbindungen ausgenutzt hat. Das Bekanntwerden des Heartbleed-Fehlers in der OpenSSL-Lösung beim Herstellen von verschlüsselten Internetverbindungen zeigt auf drastische Weise, dass jede Verschlüsselung so sicher ist wie die jeweilige Programmierung und das Passwort-Management jedes einzelnen Nutzers. Und noch eines wird deutlich: Erleichterungen und der Komfort in der Nutzung sind oftmals verknüpft mit einem Verlust an Sicherheit. Denn die Sicherheitslücke in der betroffenen OpenSSL-Technologie besteht in der Funktion Heart-beat (RFC 6520, Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) Heartbeat Extension), die dafür sorgt, dass die gesicherte IPsec-Verbindung über die vom Websitebetreiber über Filter und Regeln eingestellte Zeitspanne aufrechterhalten bleibt, bevor eine erneute Anmeldung mit Benutzername und Passwort erfolgen muss. An dieser Stelle kann der Funktionsfehler in Heartbeat zum Zugriff auf unverschlüsselte Daten auf dem Webserver missbraucht werden, nämlich auf die Login-Daten einschließlich des Passworts.