Sie bedroht potenziell hunderte Millionen Geräte weltweit und ist 22 Jahre unentdeckt geblieben: Bei der sogenannten "Shellshock"-Sicherheitslücke handelt es sich um einen Bug, der in allen Bereichen (negativ) hervorsticht. Nicht nur Dauer und potenzielle Verbreitung sind enorm, auch der angerichtete Schaden: Durch die Nutzung der Lücke können Hacker die Geräte "vollständig übernehmen", so die New York Times.

Schlimmer als "Heartbleed"

Daher sei "Shellshock" sogar noch eine Stufe über den katastrophalen Heartbleed-Bug zu stellen, der im Frühjahr für Entsetzen sorgte. Denn Heartbleed blieb zwei Jahre unentdeckt, die Lücke betraf rund 500.000 Geräte - und als schlimmste Manipulation konnten Daten aus den Servern entwendet werden. Doch selbst für die Schließung der Heartbleed-Lücke mussten und müssen gewaltige Ressourcen verwendet werden, eine Beseitigung könnte noch Jahre dauern.

Auch manche Android-Geräte betroffen

Es ist daher nicht schwierig, sich die Konsequenzen von Shellshock (auch "Bashbleed" genannt) auszumalen, das laut neuesten Berichten Apple-, Linux- und Unix-Nutzer genauso wie Android-Smartphones - wenn auch nur jene mit alternative Firmware wie CyanogenMod und damit nur einen sehr kleinen Teil - betrifft. Denn seit dem Bekanntwerden des Bugs vergangenen Mittwoch laufen bereits erste Attacken. Doch wie kann eine solche Lücke so lange unentdeckt bestehen?

Open Source: Fehlende Unterstützung

Die Antwort darauf ist laut New York Times in der Struktur und Funktion der Open Source-Community zu finden. Für Shellshock ist - ebenso wie für Heartbleed - ein unbezahlter, freiwillig tätiger Programmierer verantwortlich. Chet Ramey hatte "Bash" betreut, das als Unix-Shell Bash grob vereinfacht eine Schnittstelle zwischen User-Kommando und Software darstellt. Ramey ist, wie der überwiegende Großteil der Open-Source-Mitarbeiter, kein Dilettant: In seinem Brotberuf arbeitet er als Senior Technology Architect an einer US-Universität.

Konzerne müssen mithelfen

Doch Ramey ist als Open-Source-Programmierer großteils auf sich allein gestellt und auf die Mithilfe von anderen Freiwilligen angewiesen. Denn große Konzerne nutzen zwar die Ergebnisse der Open-Source-Gemeinde, stellen ihrerseits aber wenig Ressourcen zur Verfügung. So gelten Open-Source-Produkte gemeinhin als extra sicher, weil ihre Entstehung und ihr Code transparent überprüft werden kann. Dazu fehlt allerdings oft Zeit und Geld. Etwas, das sich nach dem Heartbleed-Bug hätte ändern sollen, und sich auch langsam wandelt.

Selbst nicht aufgefallen

Ramey dürfte die Sicherheitslücke bereits 1992 (unabsichtlich) geschrieben haben; in den letzten 22 Jahren sei sie ihm selbst nicht aufgefallen. Erst am 12. September dieses Jahres hatte sich ein Open-Source-Programmierer namens Stephane Chazeles an ihn gewandt, und ihm von Shellshock berichtet, so Ramey zur New York Times. Binnen weniger Stunden hatten sie zu zweit einen Patch programmiert und an große Firmen weitergegeben.

Alarmstufe 10 von 10

Diese sind mittlerweile in Alarmbereitschaft: Die US-Behörde "National Institute of Standards and Technology" warnte vehement vor Shellshock, gab der Lücke in Punkto Gefährlichkeit eine volle Punktezahl. Auch andere Sicherheitsforscher, etwa von den Kaspersky Labs, drängen Nutzer, ihre Geräte mit Updates zu versehen. Denn mittlerweile wird die Schwachstelle von Hackern voll genutzt. (fsc, derStandard.at, 28.9.2014)