zur Navigation springen

Sicherheitslücke bei OpenSSL : „Heartbleed“: Wann Sie Ihr Passwort ändern sollten

vom

Schon wieder müssen Internetnutzer ihre Passwörter ändern - für E-Mailkonten und Online-Banking. Der Grund für die Aufregung heißt „Heartbleed“. Fragen und Antworten zur Sicherheitslücke bei der Verschlüsselungssoftware OpenSSL.

shz.de von
erstellt am 10.Apr.2014 | 17:50 Uhr

Was ist „Heartbleed“ eigentlich?

Die Sicherheitslücke „Heartbleed“ (Blutendes Herz) klafft in der weit verbreiteten Verschlüsselungs-Software OpenSSL. Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. Nach der Entdeckung der Schwachstelle in der wichtigen Software zum Schutz von Daten im Internet wird die gewaltige Dimension der Sicherheitslücke immer deutlicher.

 

Welche Webseiten sind betroffen?

Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. Große Internetdienste beeilen sich, die Schwachstelle in ihren Systemen zu stopfen. Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen am Donnerstagabend mit. Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen. Betroffen ist auch der Internetriese Yahoo. Andere große Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung.

 

Was ist OpenSSL?

SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. Die Verschlüsselungstechnik OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet.

 

Was ist das Problem?

Ein äußerst schwerer Programmierfehler erlaubt es jedem Kommunikationspartner, Speicher der Gegenstelle auszulesen. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen - zum Beispiel Passwörter. Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Die Entdecker haben den Fehler „Heartbleed“ genannt, weil er in der Heartbeat-Funktion gefunden wurde. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Diese Schlüssel sind nötig, damit die Verschlüsselung der Daten funktioniert. Sie könnten durch den Fehler gestohlen worden sein. Kriminelle können nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update beheben. Das Bundesamt für Sicherheit in der Informationstechnik rät ihnen zudem, neue Schlüssel zu beantragen.

 

Was kann ich tun?

Nutzer sollten bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln. Neben Google ist zum Beispiel Hypovereinsbank.de  nicht mehr von der Sicherheitslücke betroffen. Auch Web.de betont, dass nun alle Systeme auf dem neuesten Stand seien.

 

Was ist ein sicheres Passwort?

Ein sicheres Passwort setzt sich aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammen. Echte Wörter sollten vermieden werden. Ein Passwort sollte immer wieder geändert werden.

Wie ernst ist das Problem überhaupt?

 „Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein“, sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem „Wall Street Journal“. Der bekannte Internet-Sicherheitsexperte Bruce Schneier schrieb: „Auf einer Skala von 1 bis 10 ist es eine 11.“ Ein Netzwerk-Experte sagte dem Technologieblog „Ars Technica“, er habe in alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle bereits im November 2013 auszunutzen.

 

Auf dieser Seite des italienischen Programmierers Filippo Valsorda lässt sich testen, ob eine Seite von der  „Heartbleed“-Schwachstelle betroffen ist.

 

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen