Technik

Heartbleed gibt Zugangsdaten preis Muss man alle Passwörter ändern?

Heartbleed Auge.jpg

Heartbleed zwingt viele Nutzer dazu, ihre Passwörter zu ändern.

(Foto: REUTERS)

Der OpenSSL-Bug Heartbleed beunruhigt viele Nutzer, da nicht auszuschließen ist, dass die Lücke bereits für den Diebstahl von Zugangsdaten ausgenutzt wurde. Muss man jetzt seine Passwörter ändern? Und wenn ja, welche?

Deutsche Internet-Nutzer haben es zur Zeit nicht leicht. Erst werden sie durch einen erneuten massenhaften Diebstahl von Internet-Identitäten erschreckt, kurze Zeit später wird eine Sicherheitslücke bekannt, die SSL-Verschlüsselungen nutzlos macht. Zwar haben die meisten der betroffenen großen Webseiten und Diensteanbieter bereits ein Update installiert oder tun dies in Kürze. Aber selbst wenn die Lücke gestopft ist, könnten Gangster bereits Passwörter geklaut haben. Wie auf der Info-Seite Heartbleed.com zu lesen ist, kann ein erfolgter Angriff nicht erkannt werden, er hinterlässt keine Spuren. Dass der Fehler im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL bereits ausgenutzt wurde, sei zwar eher unwahrscheinlich, sagen Experten. Sie können es aber auch nicht ausschließen.

Am besten alle Passwörter ändern

Hat man nur ein paar Passwörter, ist es also vielleicht das Beste, alle wechseln. Der Aufwand ist relativ gering und man geht auf Nummer sicher. Wer möchte, kann in einer auf GitHub veröffentlichten Liste nachschauen, ob eine Webseite oder ein Dienst angreifbar war oder noch ist. Aktuell stammt sie vom Nachmittag des 10. April. Die Liste enthält zwar mehr als 10.000 Einträge, mit der Suchfunktion des Browsers findet man aber leicht einen Namen. Weil aber inzwischen fast alle Einträge mit "nicht verwundbar" gekennzeichnet sind, hat sie wenig Aussagekraft. Relevanter sind die Liste mit den Top 1000 oder die längere Liste mit vielen anderen Webseiten vom 8. April, da man hier Webseiten sieht, die vor dem Update anfällig für den Heartbleed-Bug waren. Der direkte Weg führt über "Heartbleed test", wo man eine URL oder einen Hostnamen eingeben kann. Sicher kann man dann aber immer noch nicht sein, da einige große Dienste im Test oder den aktuellen Listen "nicht verwundbar" sind, es aber zu einem früheren Zeitpunkt noch waren. Die Lücke klafft immerhin seit zwei Jahren.

Facebook, Google und Yahoo waren betroffen

"Mashable" hat daher direkt bei großen Webseiten angefragt und von fast allen eine wahrscheinlich ehrliche Antwort erhalten. So haben unter anderem folgende Webseiten und E-Mail-Dienste die Heartbleed-Lücke aufgewiesen:

  • Facebook
  • Tumblr
  • Google
  • Gmail
  • Yahoo
  • Yahoo Mail
  • Dropbox
  • LastPass
  • SoundCloud
  • Wunderlist

Die Betreiber empfehlen das Passwort zu ändern. Google und Facebook gaben an, die Lücke geschlossen zu haben, bevor sie publik wurde, raten aber trotzdem zu einer Änderung.

Nicht betroffen waren und sind:

  • LinkedIn
  • Amazon
  • Microsoft
  • Hotmail/Outlook
  • PayPal
  • Evernote

Twitter hat Mashable bisher nicht geantwortet, aktuell besteht "twitter.com" den Heartbleed-Test. Der Dienst selbst gab am 8. April in einem Statusbericht an, OpenSSL einzusetzen. Man habe aber festgestellt, dass Twitter-Server nicht betroffen gewesen seien.

Apple-Systeme offenbar sicher

Ebay hat sehr schwammig geantwortet. Der weitaus größte Teil seiner Dienste sei nicht betroffen gewesen, die Nutzer könnten weiter sicher einkaufen.

Ein Apple-Sprecher sagte dem Tech-Magazin "Re/code" geschrieben: "Apple nimmt die Sicherheit sehr ernst. iOS und OS X enthielten nie die verwundbare Software und die wichtigen webbasierten Dienste waren nicht betroffen."

Android-Nutzer sind laut Google nur betroffen, wenn auf ihrem Gerät Version 4.1.1 läuft. Ein Patch sei bereits erstellt und an die Hersteller weitergegeben worden.

Quelle: ntv.de, kwe