"Heartbleed" macht Internet unsicher
10. April 2014
Bislang stand der Zusatz SSL auf einer Webseite für sicheres Surfen und sicheren Datenausstausch. Mit dieser Sicherheit ist es zumindest momentan vorbei. Vermutlich in weit größerem Maß, als bislang angenommen. Schon der Name zeigt, wie ernst der Fehler von Experten genommen wird: "Heartbleed" - Herzbluten, haben sie die Sicherheitslücke von OpenSSL getauft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Fehler als kritisch ein. Existent ist er offenbar bereits seit zwei Jahren.
OpenSSL wird dazu benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. SSL-Software wird insbesondere von E-Mail-Diensten, beim Online-Banking wie auch beim Einkaufen im Internet verwendet. Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.
Kriminelle könnten alles ausspähen
Die Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher solcher Websites zuzugreifen und dort sowohl Passwörter als auch die für ihren Schutz verwendeten Schlüssel zu stehlen. So können Kriminelle dann nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank.
Die Betreiber der Webseiten können den Fehler mit einem Update auf eine neue Version der OpenSSL-Software beheben. Das Bundesamt für Sicherheit in der Informationstechnik rät ihnen zudem, neue Schlüssel zu beantragen. Diese Schlüssel sind nötig, damit die Verschlüsselung der Daten funktioniert. Sie könnten durch den Fehler gestohlen worden sein.
Verbrauchern wird geraten, vorsichtshalber ihre Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern.
Auch deutsche Banken und Sparkassen haben auf SSL-Verschlüsselung gesetzt und schließen derzeit Sicherheitslücken in ihren Systemen. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.
Die Sicherheitslücke sollte heimlich behoben werden
Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen mit. Andere große Anbieter wie Apple, Amazon oder Microsoft gaben bereits Entwarnung.
Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, ist unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Das Unternehmen teilte mit, das Problem sei inzwischen behoben.
Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security. Im Internet wurde mittlerweile die Seite "heartbleed.com" für den Informationsaustausch über den Software-Fehler eingerichtet. Wie das "Wall Street Journal" unter Berufung auf Branchenkenner berichtet, sollte die Schwachstelle ursprünglich ohne großes Aufsehen im Hintergrund dicht gemacht werden. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.
cw/sti (dpa, AFP)