Was habe ich mir immer wieder Gedanken darüber gemacht, ob meine Passwörter sicher sind. Völlig ohne Grund. Denn nicht nur meine Passwörter und Onlinedaten waren kompromittiert, sondern stattdessen diejenigen aller Internetnutzer weltweit. Alles aufgrund des heartbleed bugs.

Ist das nun ärgerlich? Hmm, ist es das!? Nein, das trifft es einfach nicht. Was wir mit heartbleed erlebt haben, ist eine Katastrophe sondergleichen. Man kann sich einfach nicht das Ausmaß dieser Stümperei ausmalen. Es versagt jede Vorstellungskraft! Deshalb bleibt es momentan leider aus, dass wir die Situation zutreffend interpretieren. Denn das, was dort geschehen ist, stellt prinzipiell unsere Abhängigkeit von technischen Systemen in Frage, mehr noch als es Fukushima getan hat.

Als Programmierer kann ich Euch sagen, wie schwierig es ist keine Fehler beim Programmieren zu übersehen, geschweige denn alle potentiellen Angriffsstellen in den Programmzeilen auszumerzen. Es gibt einen kompletten Wissenschaftszweig, der sich mit der prinzipiellen Validierbarkeit von Programmcode beschäftigt. Aber in der Praxis hilft nur, dass mehrere Leute sich den Quellcode anschauen und ihr Okay geben. Dabei muss damit gerechnet werden, dass entscheidende Stellen trotzdem übersehen werden können. Mit diesem Wissen ist es deshalb unbegreiflich, dass der heartbleed Fehler in den OpenSSL Bibliotheken nicht viel früher aufgespürt wurde, denn eigentlich wären solche routinemäßigen Prüfungen eine Pflicht für jede größere Softwarefirma. Zumindest aber für Banken, die mit ihrem Onlinebanking-Geschäft besonders vorsichtig sein müssen. Die Fehler wurden aber über 2 Jahre nicht entdeckt.

Ein unglaublicher Skandal, der offenlegt, wie schnell wir uns in der Sicherheitsbewertung technischer Systeme irren können. Wir sitzen in vielerlei Hinsicht auf einem Pulverfass mit all der Technik, auf die wir uns tagtäglich in sicherheitsrelevanten Bereichen verlassen.

Geschrieben auf meinem Smartphone.