Technik
Heartbleed ist eine sehr gefährliche Lücke in der Verschlüsselungs-Software OpenSSL.
Heartbleed ist eine sehr gefährliche Lücke in der Verschlüsselungs-Software OpenSSL.(Foto: heartbleed.com)

Update gegen SSL-Lücke steht bereit: Heartbleed betrifft fast alle Nutzer

Der sogenannte "Heartbleed Bug" ist eine Sicherheitslücke in der von vielen Webseiten genutzten Verschlüsselungs-Software OpenSSL, durch die Kriminelle Nutzerdaten auslesen könnten. Ein Update steht bereit und sollte von Webserver-Betreibern umgehend installiert werden.

Wer bisher auf Webseiten mit SSL-Verschlüsselung seine Zugangsdaten eingab, konnte sich eigentlich sicher fühlen, da der Datentransport durch diesen Schutzmechanismus als nur schwer angreifbar galt. SSL wird daher benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Unzählige Webseiten setzen die Technik ein, ebenso E-Mail-Dienste. Selbst beim Online-Banking vertraut man auf SSL.

Doch kürzlich hat das Sicherheitsunternehmen Codenomicon eine Lücke in der für die Verschlüsselung verwendeten Software OpenSSL entdeckt. Der Bug namens "Heartbleed" ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden.

Im letztgenannten Fall könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte Fox-IT.

Betreiber müssen schnell reagieren

Der Software-Fehler ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilte. Die Schwachstelle sei "als kritisch einzustufen". Inzwischen steht eine neue Version des Programms zur Verfügung, das die Sicherheitslücke schließt.

Betreiber von Webservern, die OpenSSL benutzen, sollten "umgehend" auf die neueste Version aktualisieren, erklärte das BSI. Zusätzlich sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden, da bereits erbeutete Informationen zum Diebstahl von Daten eingesetzt werden könnten. In Internetforen wurde auch Verbrauchern geraten, vorsichtshalber Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern.

Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, ist unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben. Laut heartbleed.com setzt rund die Hälfte aller Webseiten weltweit OpenSSL ein. Es seien aber nicht alle von dem Software-Fehler betroffen. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.

Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet Nutzern, für die anonymes Surfen besonders wichtig ist, sich "die nächsten Tage komplett vom Internet fernzuhalten". Sie sollten abwarten, bis das OpenSSL-Update weite Verbreitung gefunden habe und die Schlüssel und dazu gehörigen Zertifikate ausgetauscht worden seien.

Quelle: n-tv.de

Empfehlungen