Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

Heartbleed-Lücke: Noch keine endgültige Entwarnung

...
t-online.de ist ein Angebot der Ströer Content Group

Heartbleed  

Noch keine endgültige Entwarnung bei der Sicherheitslücke

19.05.2014, 15:13 Uhr | dpa

Heartbleed-Lücke: Noch keine endgültige Entwarnung. Heartbleed (Quelle: imago/Christian Ohde)

Internet-Nutzer sollten vorsichtig bleiben. (Quelle: Christian Ohde/imago)

Die vor über einem Monat entdeckte Sicherheitslücke  Heartbleed hat gewaltige Wellen geschlagen. Experten sprachen von der schlimmsten Schwachstelle seit der Massen-Verbreitung des Internets. Und obwohl die Lücke in der frei verfügbaren Verschlüsselungstechnik OpenSSL schnell geschlossen wurde, haben viele Seitenbetreiber bislang nichts unternommen. Eine endgültige Entwarnung ist deshalb noch nicht möglich.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die wichtigsten Internetseiten inzwischen reagiert und die Sicherheitslücke auf ihren Systemen geschlossen. Erfahrungsgemäß bleibe immer ein gewisser Prozentsatz an nicht-aktualisierten Seiten übrig, man rechne jedoch nicht mehr mit massiven Fällen, hieß es beim BSI.

Andere Beobachter sehen das kritischer: Erratasec, ein Dienstleister für Internetsicherheit warnt beispielsweise, dass die Sicherheitslücke am 8. Mai 2014 noch auf über 300.000 Internetseiten nicht geschlossen war – gut einen Monat nach bekanntwerden der Schwachstelle. Der im gleichen Bereich tätige Dienstleister Netcraft monierte, dass noch nicht einmal die Hälfte der betroffenen Internetseiten ihre Zertifikate ausgetauscht hätte.

Heartbleed hat weitreichende Folgen

Beide Meldungen offenbaren ein grundsätzliches Problem. Die Sicherheitslücke Heartbleed war nicht nur gravierend, sondern hatte auch weitreichende Folgen für die Betroffenen. Der Fehler in der Kryptographiesoftware OpenSSL war zwar per Update schnell behoben. Die fehlerhafte Software auszutauschen, reicht aber nicht.

Denn über den Heartbleed-Fehler lassen sich die privaten kryptographischen Schlüssel auslesen. Die wiederum werden in Sicherheitszertifikate integriert. Die Zertifikate werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Neue Schlüssel und Zertifikate sind notwendig

Administratoren betroffener Internetseiten oder E-Mail-Anbieter müssen deshalb zunächst die fehlerhafte OpenSSL-Software austauschen und dann neue Schlüssel und damit neue Zertifikate erstellen. Der Aufwand ist also nicht unerheblich. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden.

Geschieht das nicht, besteht laut BSI die Gefahr, dass ein "Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzen, Opfer dort hinlocken und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite". Das Opfer laufe dann in Gefahr, seine Passwörter auf der gefälschten Seite einzugeben oder Schadsoftware herunterzuladen.

Browser warnen nicht vor ungültigen Zertifikaten

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen", hieß es beim BSI.

Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagte auch der Kryptographieexperte und Fachjournalist Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne und das Zertifikat dann trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Internetseite oder ein E-Mail-Anbieter muss schließlich noch seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Denn hat ein Einbrecher die privaten Schlüssel ausgelesen, kann er den Datenverkehr mitschneiden und dabei die Passwörter der Besucher auslesen. Besonders betroffen sind dann Anwender, die das gleiche Passwort auch für andere Internetdienste nutzen. "Viele große Anbieter haben darauf hingewiesen, schon allein, um eventuelle Haftungsfragen auszuschließen", erklärte das BSI.

Es besteht eine Meldepflicht für Dateneinbrüche

Nach geltendem Datenschutzrecht müssen Einbrüche auf Plattformen, bei denen Daten gestohlen wurden, den Datenschutzbehörden gemeldet werden. Andernfalls drohen Bußgelder von bis zu 300.000 Euro. "Dem BSI wurden keine Vorfälle aus Deutschland gemeldet", hieß es aus der Behörde.

Immerhin gaben auch große Internetkonzerne wie Google mit seinem E-Mail-Dienst Gmail an, von dem Heartbleed-Fehler betroffen zu sein. Dort waren die Lücken aber geschlossen, noch bevor die Heartbleed-Lücke öffentlich bekannt wurde. Google-Mitarbeiter hatten den Fehler gleichzeitig mit zwei unabhängigen Experten entdeckt. Die Deutsche Telekom hatte die Lücke unmittelbar nach Bekanntwerden geschlossen und die serverseitigen SSL-Zertifikate ausgetauscht.

Möglicherweise führte die massive Aufmerksamkeit zu einer so raschen Reaktion der meisten Betroffenen, dass potentielle Angreifer kaum Zeit hatten, die Sicherheitslücke effizient auszunutzen. Der einzige bekannte Fall war der einen kanadischen Hackers, der sich über die Heartbleed-Lücke Zutritt zu Finanzbehörden verschaffte. Er wurde kurz darauf verhaftet.

Vorsicht ist weiterhin angebracht

Dennoch gibt es immer noch Grund zur Vorsicht: Vor allem über Links in Spam-Mails können Anwender auf gefälschte Internetseiten gelangen, die mit bereits ungültigen Zertifikaten vom Browser als vertrauenswürdig eingestuft werden. Vermeintlich gesicherte Internetseiten sollten beim ersten Besuch genau betrachtet werden, oft sind dort Unregelmäßigkeiten erkennbar, etwa sprachliche Fehler.

Welche Maßnahmen Internet-Nutzer nach Bekanntwerden der Lücke durchführen sollten, sind in unserem Ratgeber zusammengefasst: Die wichtigsten Antworten zur SSL-Lücke.

Weitere spannende Digital-Themen finden Sie hier.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Ab 6 Uhr können Sie hier wieder wie gewohnt diskutieren. Wir danken für Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Video des Tages

Shopping
Klingelbonprix.detchibo.deCECILStreet OneLIDLBabistadouglas.deBAUR
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal
Das Unternehmen
  • Ströer Digital Publishing GmbH
  • Unternehmen
  • Jobs & Karriere
  • Presse
Weiteres
Netzwerk & Partner
  • Stayfriends
  • Erotik
  • Routenplaner
  • Horoskope
  • billiger.de
  • t-online.de Browser
  • Das Örtliche
  • DasTelefonbuch
  • Erotic Lounge
Telekom Tarife
  • DSL
  • Telefonieren
  • Entertain
  • Mobilfunk-Tarife
  • Datentarife
  • Prepaid-Tarife
  • Prepaid-Aufladung
  • Magenta EINS
Telekom Produkte
  • Kundencenter
  • MagentaCLOUD
  • Homepages & Shops
  • De-Mail
  • Freemail
  • Mail & Cloud M
  • Sicherheitspaket
  • Hotspot
  • Telekom Fotoservice
  • Hilfe
© Ströer Digital Publishing GmbH 2017