Wie ein Mann zufällig den weltgrößten Datendiebstahl verhinderte

Das Internet feiert einen neuen Helden. Andres Freund, ein deutscher Software-Entwickler bei Microsoft, hat mit einer zufälligen Entdeckung wahrscheinlich einen der größten Datendiebstähle aller Zeiten verhindert – und es damit in nur einer Woche zu weltweitem Ruhm gebracht. „Mit seiner Neugierde und seinem handwerklichen Geschick konnte er uns allen helfen“, lobte Microsoft-CEO Satya Nadella auf Twitter.

Um zu verstehen, was Freund getan hat, müssen wir zunächst ein paar Hintergründe klären. Das Internet ist zweifellos eine der größten Errungenschaften unserer Zeit, ein Großteil der modernen Technologie nutzt dessen Infrastruktur. 

Die wird aber nicht von großen Konzernen gewartet, sondern gleicht eher einem Flickenteppich. Ein Großteil der Prozesse im Internet basiert auf sogenannter Open-Source-Software – also Programmen, deren Code für jede und jeden online abrufbar ist. Tausende Freiwillige in aller Welt arbeiten regelmäßig daran, diese Programme aktuell zu halten und ihre Fehler auszumerzen.

"Wie ein Bäcker, der an Brot riecht - und dadurch entdeckt, dass jemand die globale Hefeproduktion manipuliert hat"

Andres Freund ist einer dieser Freiwilligen. Nach einem Besuch bei seiner Familie in Deutschland Ende März vertrieb er sich am Flughafen, wie so oft, die Zeit damit, ein paar Verbesserungen am Linux-Betriebssystem durchzuführen – ein Open-Source-Betriebssystem, auf dem fast alle Server weltweit basieren, egal ob Banken oder Regierungen. Dabei stieß er auf etwas Ungewöhnliches.

Ein Programm namens SSH, das immer zum Einsatz kommt, wenn sich jemand extern in ein Computersystem einloggt, verbrauchte „eine erhebliche Menge an Arbeitsspeicher“, wie Freund auf Twitter erklärt. Das heißt: Sein Laptop musste sich für einen eigentlich einfachen Prozess anstrengen. Freund ging der Sache auf die Spur und entdeckte, dass jemand Zeilen in den Code geschrieben hatte, die es ermöglichen, auf die Daten aller SSH-Nutzer zuzugreifen – also fast aller Internetnutzer weltweit.

Ein unglaublicher Zufallsfund, der ohne Freunds Erfahrung und Intuition nicht möglich gewesen wäre. Die New York Times verglich ihn mit „einem Bäcker, der an einem frisch gebackenen Brot riecht, merkt, dass etwas nicht stimmt, und dadurch aufdeckt, dass jemand die globale Hefeproduktion manipuliert hat“.

"Wer auch immer dahintersteckt, hätte fast einen Generalschlüssel für alle PCs geschaffen"

Freund machte seine Entdeckung öffentlich, informierte andere Freiwillige. Gemeinsam entfernten sie die Code-Zeilen und verhinderten, dass sie der Welt im nächsten Linux-Update ausgespielt wurden. „Das hätte die effektivste Hintertür sein können, die jemals jemand in ein Betriebssystem eingepflanzt hat“, schrieb der US-Sicherheitsexperte Alex Stamos auf Twitter. Wer auch immer dahintersteckt, hätte fast „einen Generalschlüssel für hunderte Millionen Computer in aller Welt“ geschaffen.

Inzwischen ist klar, dass der versuchte Cyberangriff von einem Programmierer mit dem Pseudonym „Jia Tan“ eingebaut wurde. Dabei basiert die Welt der freiwilligen Programmierer eigentlich auf einer strengen Hierarchie, um solche Missbrauchsfälle zu verhindern. Nur, wer regelmäßig Verbesserungsvorschläge macht, darf irgendwann selbst am Code herumdoktern.

„Jia Tan“ erarbeitete sich also über Jahre das Vertrauen der etablierten Gemeinschaft, bis er seine Chance gekommen sah. Seine Veränderungen habe er so präzise verschleiert, dass einige Experten davon ausgehen, dass eine Hackergruppe mit immensen Ressourcen dahinterstecken muss, wie sie nur staatliche Akteure aufstellen können.