zur Navigation springen

Dreyklufts Netzwelt : Diesmal ist es wirklich ernst

vom
Aus der Redaktion des Flensburger Tageblatts

Haben Sie letzte Woche auch über Heartbleed gelesen? Das ist diese Lücke bei Sicherheitszertifikaten auf Servern. Der Fehler im Verschlüsselungsprogramm „OpenSSL“ ist auf heartbleed.com detailliert beschrieben. Die Seite jagt mir Schauer über den Rücken.

shz.de von
erstellt am 15.Apr.2014 | 19:00 Uhr

Geht es Ihnen wie mir? Ständige Sicherheitswarnungen lassen mich abstumpfen. Ein neuer Trojaner aufgetaucht? Betrifft mich nicht. Millionen Mailpasswörter geklaut? Okay, da habe ich meine wichtigsten Mailadressen auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.bund.de) eingetippt. Aber nervös war ich nicht. Irgendwie bilde ich mir ein, dass ich schon davonkomme. Weil ich mich auskenne. Weil ich privat Linux und nicht Windows verwende. Und natürlich, weil ich ein Sonnenkind bin, das meistens Glück hat :-)

Doch diesmal habe ich Angst. Haben Sie letzte Woche auch über Heartbleed gelesen? Das ist diese Lücke bei Sicherheitszertifikaten auf Servern. Der Fehler im Verschlüsselungsprogramm „OpenSSL“ ist auf heartbleed.com detailliert beschrieben. Die Seite jagt mir Schauer über den Rücken.

Jetzt muss ich technisch werden, um den Grund zu beschreiben. Das „Open“ in Open SSL steht für quelloffen. Das heißt, dass der Programmcode jedermann zugänglich ist. Als Vorteil von offener Software galt, dass sie für Sicherheitsfehler wenig anfällig ist, da ganz viele andere Programmierer den Code inspizieren (können). Das Gegenkonzept „Security by Obscurity“ (Sicherheit durch Verschleierung) galt als veraltet.

Fehler werden in offener Software immer schnell entdeckt, so die Theorie. In der Praxis blieb Heartbleed jedoch zwei Jahre lang im Verborgenen. Ein Desaster für diese Art der Sicherheitsphilosophie. Wer den Fehler kannte, konnte von jedem mit OpenSSL verschlüsselten Server, und das sind die allermeisten, alle Daten entschlüsseln, ohne Spuren zu hinterlassen. Inzwischen ist die Sicherheitslücke geschlossen . Aber es ist unklar, ob und welche Daten gestohlen wurden.

Machen Sie es bitte wie ich: Werden Sie nervös! Ändern Sie die Passwörter aller Onlinedienste, mit denen Ihnen bei Missbrauch Schaden zugefügt werden kann.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen