Heartbleed, Shellshock und Co
Warum das Internet zum TÜV muss

Erst Heartbleed, dann Shellshock – zwei schwere Sicherheitslücken haben die Internetbranche schockiert. Sie illustrieren ein gravierendes Problem: Fast alle Firmen nutzen offene Software – aber nur wenige überprüfen sie.
  • 2

DüsseldorfStrandnahe Ferienwohnungen an der Ostsee, ein Haus mit Pool in Kroatien, eine Berghütte im Bayerischen Wald: Das Internetportal, dessen Name hier nicht genannt werden soll, hilft bei der Suche nach komfortablen Urlaubsunterkünften. Doch wer dort in den letzten Monaten seine persönlichen Daten eingegeben hat, könnte eine unbequeme Überraschung erleben.

Denn der Betreiber der deutschsprachigen Website hat erst vor wenigen Tagen die Sicherheitslücke geschlossen, die im April unter dem Namen Heartbleed die Internetbranche erschütterte. Angreifer konnten bei dem Portal über einen Fehler in der Verschlüsselungstechnologie OpenSSL vermeintlich geschützte Daten stehlen – etwa wenn Nutzer ein Ferienhaus reservieren wollen.

Das Beispiel illustriert ein gravierendes Problem: Offene und kostenlose Systeme (Experten sprechen von Open Source) sind tragende Säulen des Internets, die in Millionen von Webseiten und Online-Diensten verbaut werden. Fast alle Unternehmen und Behörden nutzen sie – aber viel zu wenige überprüfen, wie belastbar sie überhaupt sind. Das gilt für OpenSSL ebenso wie für die weitverbreitete Linux-Funktion Bash, in der ein Entwickler kürzlich ebenfalls eine schwere Sicherheitslücke namens Shellshock entdeckte.

Mit offener Software kommt wohl jeder in Kontakt, und zwar täglich: Wenn man beispielsweise im Browser eine Website aufruft, werden die Daten wahrscheinlich von einem Server ausgeliefert, der mit Linux und der Software Apache läuft. „Open Source ist im Netzwerkumfeld sehr stark vertreten“, sagt Joachim Müller, der bei der Bielefelder Unternehmensberatung Ceyoniq Consulting den Bereich IT-Sicherheit leitet. Das gelte auch für Router und Firewall-Systeme.

Viele Unternehmen nutzen außerdem offen verfügbaren Code, um nicht alles selbst programmieren zu müssen. „Man kann betriebswirtschaftlich nur sinnvoll entwickeln, wenn man auf gestandene Produkte zurückgreift“, betont Müller. Das gilt gerade für so etwas Komplexes wie Verschlüsselung – so ist OpenSSL zu einem Quasi-Standard geworden.

Das Vertrauen in Linux & Co. ist allgemein groß. Denn der Programmcode von Open-Source-Software ist offen, jeder darf ihn also überprüfen und verbessern. Das Versprechen lautet: Die Entwickler-Community bessert gemeinsam Fehler aus und verschließt Hintertürchen. Daher haben quelloffene Programme den Ruf, besonders sicher zu sein.

Doch bei der Schwarmintelligenz lautet die entscheidende Frage: Wie groß ist der Schwarm? Heartbleed und Shellshock zeigen: nicht immer groß genug. „Solange man darauf vertrauen kann, dass andere investieren, muss man nichts machen“, sagt der Informatik-Professor Christoph Sorge von der Universität des Saarlandes. Das sei die „Tragik der Allmende“ – Gemeinschaftseigentum lädt manchmal zur Verantwortungslosigkeit ein.

Kommentare zu " Heartbleed, Shellshock und Co: Warum das Internet zum TÜV muss"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Der Beamten-TÜV ist da sicher die zweitschlechteste Institution sowas zu prüfen, gleich hinter der Stiftung Warentest

  • Bin ja mal gespannt wie das Vorgehen ist, wenn der "TÜV" eine Software frei gibt und später dann trotzdem eine Sicherheitslücke gefunden wird.
    Kann man den "TÜV" dann verklagen?

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%