Seit einer Woche ist "Heartbleed" bekannt, doch die Aufräumarbeiten sind noch längst nicht abgeschlossen. Gleichzeitig gibt es eine Diskussion um die Arbeit an der betroffenen Software OpenSSL. Zum Kernteam der Software gehören gerade einmal vier Programmierer.
Nach der Veröffentlichung der Sicherheitslücke wurden Rufe nach mehr Unterstützung für OpenSSL laut. Seitdem seien etwa 200 Spenden eingegangen, meist über kleine Beträge, schrieb Steve Marquess, der Präsident der Stiftung hinter OpenSSL, in einem Blogeintrag.
Marquess rief dazu auf, das Projekt besser zu finanzieren. Grosse Unternehmen oder Behörden, sollten Geld für OpenSSL zahlen, schrieb er. "Diejenigen, die wirkliche Unterstützung leisten sollten, sind die kommerziellen Firmen und Regierungen, die OpenSSL umfassend nutzen und als gegeben hinnehmen." Das Projekt habe weder genug Mitarbeiter noch genug Geld, um alle Aufgaben zu erledigen.
Währenddessen forderten unter anderem die Fotoplattform Pinterest, der Blog-Dienst Tumblr und der Passwort-Manager LastPass ihre Nutzer zum Wechsel der Kennwörter auf. Durch die Schwachstelle in OpenSSL können Angreifer auf vermeintlich gesicherte Daten zugreifen. OpenSSL wird in einer Vielzahl von Webdiensten eingesetzt.
Die Sicherheitslücke wurde vor einer Woche entdeckt und ist unter dem Namen "Heartbleed" bekannt. Sie versteckte sich zwei Jahre lang unentdeckt in einer Funktion namens "Heartbeat". OpenSSL ist eine quelloffene Software, das heisst, der Programmcode steht für jeden einsehbar im Internet. (sda)
