Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

OpenSSL-Lücke: Was Internet-Nutzer wegen Heartbleed tun müssen

...

Riesen-SSL-Lücke  

Was deutsche Internet-Nutzer jetzt tun müssen

10.04.2014, 17:39 Uhr | t-online.de

OpenSSL-Lücke: Was Internet-Nutzer wegen Heartbleed tun müssen. Feld zur Passworteingabe und Computer-Tastatur (Quelle: dpa)

Eine Fehler in der Verschlüsselungssoftware OpenSSL gefährdet Millionen von Passwörtern. (Quelle: dpa)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer gravierenden Schwachstelle in einem Internet-Sicherheitsprotokoll. Experten sprechen von der schlimmsten Schwachstelle seit der Massen-Verbreitung des Internets. Welche Auswirkungen hat die Lücke auf private Internetnutzer? Müssen jetzt alle Passwörter geändert werden? Wir haben die wichtigsten Fragen und Antworten zusammengefasst.

Wo besteht die Sicherheitslücke?

Die Lücke betrifft ausgerechnet Internetverbindungen, die als sicher gelten. Eine sichere Verbindung ist im Browser durch den Adressanfang https:// gekennzeichnet. Andere, nicht sicherheitskritische Internetseiten fangen dagegen mit http:// an. Moderne Browser blenden üblicherweise das http:// aus, https:// aber nicht. Das zusätzliche Symbol eines Vorhängeschlosses soll die Sicherheit signalisieren.

Eine sichere Verbindung wird bei seriösen Anbietern immer dann aufgebaut, wenn Login-Daten und Passwörter übermittelt werden, also zum Beispiel beim E-Mail-Empfang, beim Internet-Banking oder bei Zahlungsvorgängen aller Art. Das gilt nicht nur für Internetseiten, sondern auch für Smartphone-Apps, also Mail-Programme, Banking-Apps oder die Apps von Facebook, Dropbox oder eBay beispielsweise.

Foto-Serie mit 3 Bildern

Die Sicherheitslücke ist in einer Funktion enthalten, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Diese Funktion nennt sich "Heartbeat", zu deutsch Herzschlag.
 

Wie kann die Sicherheitslücke ausgenutzt werden?

Diese Sicherheitslücke besteht nicht darin, dass Server gehackt und Benutzernamen und Passwörter aus der Server-Datenbank entnommen werden. Vielmehr werden über das Leck die Daten der Internetnutzer häppchenweise aus dem Arbeitsspeicher des Servers ausgelesen und an den Angreifer weitergeleitet. Ist der Angreifer einmal in den Besitz von Daten wie Passwörtern und geheimen Schlüsseln gekommen, kann er die Kommunikation abhören und Daten direkt von den Diensten und Benutzern abgreifen und sich selbst als Dienst oder Benutzer ausgeben.

In Bezug auf den Namen der Server-Funktion tauften die Entdecker den Fehler daher "Heartbleed", weil er Informationen sozusagen "ausblutet".

Sind alle Seiten betroffen, die als sicher gelten?

Nein, aber sehr viele. Die Schwachstelle befindet sich im Verschlüsselungsprotokoll von OpenSSL, das von rund zwei Drittel aller Webserver eingesetzt wird. Es gibt aber auch Server, die das Protokoll nicht benutzen und deshalb von der Lücke nicht betroffen sind.

Wie lässt sich erkennen, welche Seiten das unsichere Protokoll benutzen?

Internetnutzer können von außen nicht erkennen, welche Protokolle eingesetzt werden. Allerdings stehen im Internet derzeit zwei Tests zur Verfügung: Unter den Adressen http://filippo.io/Heartbleed/ und possible.lv/tools/hb lässt sich testen, ob besuchte Webseiten und genutzte Online-Dienste von der aktuellen Sicherheitslücke in der Software OpenSSL betroffen sind. Bei dem Test kann jeder eine beliebige "https://"-Adresse eingeben und überprüfen, etwa "https://www.postbank.de".

Wer nicht selbst testen möchte, kann auch in einer Liste der 10.000 größten Webseites nachsehen, die auf die Schwachstelle geprüft wurden. Der Test stammt vom 10. April 2014 gegen 15 Uhr. Seiten, die dort als "vulnerable" gekennzeichnet sind, sind von der SSL-Lücke noch betroffen. Allerdings können die Seitenbetreiber zwischenzeitlich reagiert und die Lücke geschlossen haben.

Die Deutsche Telekom hat die Lücke unmittelbar nach Bekanntwerden geschlossen und die serverseitigen SSL-Zertifikate ausgetauscht. Auch die deutschen Banken und Sparkassen haben entsprechende Maßnahmen eingeleitet oder abgeschlossen. Bei Google waren die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen. Laut Angaben von Google seien die Sicherheitslücke inzwischen geschlossen.

Muss ich meine Passwörter ändern?

Wer in letzter Zeit verwundbare Webseiten oder Dienste genutzt hat, sollte seine Passwörter unbedingt ändern. Es gibt eine Liste mit amerikanischen Anbietern, die von der Lücke betroffen waren und die empfehlen, das Passwort zu ändern. Darunter sind Seiten wie Facebook, Dropbox und Yahoo. Nicht betroffen sind beispielsweise PayPal, Microsoft und Amazon.

Ein nützliche Hilfe beim Erstellen neuer Passwörter sind kostenlose Tools wie zum Beispiel der DO Passwort Generator. So lassen sich leicht für jeden Online-Dienst lange und sichere Passwörter mit Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen erstellen. Da sich sichere Passwörter in der Regel schwer merken lassen, empfehlen sich sogenannte Passwort-Manager, die alle Passwörter verschlüsselt auf der Festplatte speichern. Ein beliebtes und kostenloses Programm dieser Art ist KeePass.

Darüber hinaus können Internetnutzer selbst kaum etwas tun, sondern müssen abwarten, bis Administratoren die Lücke geschlossen haben. Das sollte allerdings in den meisten Fällen bereits passiert sein.

Wer ganz sicher gehen will, kann in den nächsten ein bis zwei Tagen auf die Übermittlung sensibler Daten via Smartphone-Apps und im Internet verzichten, also weder Bankgeschäfte tätigen noch E-Mails abrufen. Wer nicht warten will, kann einen der oben erwähnten Heartbleed-Tests nutzen, um zu überprüfen, ob die von ihm genutzten Dienste sicher sind.

Meine genutzten Dienste sind nicht sicher. Was soll ich tun?

Da die meisten Anbieter längst reagiert haben, wirft das kein gutes Licht auf diesen Dienstleister. In diesem Fall müssen Sie so lange warten, bis die Lücke geschlossen wird. Es bringt auch nichts, jetzt Passwörter zu ändern, denn auch diese können ausgelesen werden.

Weitere spannende Digital-Themen finden Sie hier.

Liebe Leserinnen und Leser, leider können wir bei bestimmten Themen und bei erhöhtem Aufkommen die Kommentarfunktion nicht zur Verfügung stellen. Warum das so ist, erfahren Sie in einer Stellungnahme der Chefredaktion.

Aktuelle Leserdiskussionen und Kommentare finden Sie auf unserer Übersichtsseite.

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Anzeige
20% auf Mode mit dem Code 11586 - nur bis zum 26.04.18
gefunden auf otto.de
Anzeige
Endlich wieder Frühlingsgefühle! Jetzt bei Manufactum
alles für den Garten entdecken
Klingelbonprix.deOTTOCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
  • giga.de
  • erdbeerlounge.de
  • kino.de
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • Magenta SmartHome
  • Telekom Sport
  • Freemail
  • Telekom Mail
  • Sicherheitspaket
  • Vertragsverlängerung Festnetz
  • Vertragsverlängerung Mobilfunk
  • Hilfe
© Ströer Digital Publishing GmbH 2018