Auch wenn die Sicherheitslücke "Heartbleed" durch einen Programmierfehler zustande kam, nutzen Kriminelle sie skrupellos aus. Einem Fall kommen kanadische Ermittler nun auf die Spur.

Im Zusammenhang mit der "Heartbleed"-Sicherheitslücke im Internet ist es in Kanada zu einer Festnahme gekommen. In London in der Provinz Ontario wurde ein 19-Jähriger in Gewahrsam genommen, der die Sicherheitslücke ausgenutzt haben soll, wie die Zeitung "Globe and Mail" berichtet. Der Mann soll versucht haben, an die Sozialversicherungsnummern von Hunderten Menschen in den Servern der kanadischen Steuerbehörde CRA zu kommen.

Dem Studenten wird unter anderem Datenmissbrauch vorgeworfen. Sein Computer wurde beschlagnahmt. Die Steuerbehörde teilte mit, sie arbeite mit Hochdruck daran, die Sicherheitslücke zu schließen.

"Heartbleed" (Herzbluten) war vor einer Woche bekannt geworden und wird inzwischen repariert. Die Lücke ermöglichte Angreifern den Zugriff auf sehr begrenzte Teile des Arbeitsspeichers von Rechnern. Die betroffene Verschlüsselungssoftware OpenSSL wird weltweit bei zahlreichen Websites und E-Mail-Servern verwendet, um sicherheitsrelevante Dateneingaben wie Passwörter zu verschlüsseln. Dazu gehören auch bekannte soziale Netzwerke. Schätzungen zufolge nutzt etwa die Hälfte aller Websites weltweit OpenSSL.

Sicherheitslücke noch nicht überall geschlossen

Einige Internetdienste haben die gravierende Sicherheitslücke "Heartbleed" noch immer nicht geschlossen. Das betreffe besonders kleinere Webseiten, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn am Mittwoch. Einzelne Dienste nannte die Behörde nicht. Um die Lücke zu schließen, müssen Betreiber von Webdiensten eine neue Version von OpenSSL auf ihren Servern installieren. Das hätten viele kleine Anbieter bisher versäumt, warnte das BSI.

Das sei besonders kritisch, denn Angreifer hätten sich mittlerweile gezielt auf die Suche nach verwundbaren Diensten begeben. Besonders E-Mail-Dienste würden ins Visier genommen. Das BSI empfahl daher, Server für E-Mails, Video- oder Telefonkonferenzen auf die Lücke zu überprüfen und sie gegebenenfalls zu schließen. Auch in manchen Routern, die eine Verbindung ins Internet herstellen, sei der Fehler noch zu finden. Sobald betroffene Online-Dienste die Lücke geschlossen haben, sollten Verbraucher ihre Passwörter ändern, raten Experten.