Riesen-SSL-Lücke Was deutsche Internet-Nutzer jetzt tun müssen
News folgenDas Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer gravierenden Schwachstelle in einem Internet-Sicherheitsprotokoll. Experten sprechen von der schlimmsten Schwachstelle seit der Massen-Verbreitung des Internets. Welche Auswirkungen hat die Lücke auf private Internetnutzer? Müssen jetzt alle Passwörter geändert werden? Wir haben die wichtigsten Fragen und Antworten zusammengefasst.
Wo besteht die Sicherheitslücke?
Die Lücke betrifft ausgerechnet Internetverbindungen, die als sicher gelten. Eine sichere Verbindung ist im Browser durch den Adressanfang https:// gekennzeichnet. Andere, nicht sicherheitskritische Internetseiten fangen dagegen mit http:// an. Moderne Browser blenden üblicherweise das http:// aus, https:// aber nicht. Das zusätzliche Symbol eines Vorhängeschlosses soll die Sicherheit signalisieren.
Eine sichere Verbindung wird bei seriösen Anbietern immer dann aufgebaut, wenn Login-Daten und Passwörter übermittelt werden, also zum Beispiel beim E-Mail-Empfang, beim Internet-Banking oder bei Zahlungsvorgängen aller Art. Das gilt nicht nur für Internetseiten, sondern auch für Smartphone-Apps, also Mail-Programme, Banking-Apps oder die Apps von Facebook, Dropbox oder eBay beispielsweise.
Die Sicherheitslücke ist in einer Funktion enthalten, die im Hintergrund läuft. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Diese Funktion nennt sich "Heartbeat", zu deutsch Herzschlag.
Wie kann die Sicherheitslücke ausgenutzt werden?
Diese Sicherheitslücke besteht nicht darin, dass Server gehackt und Benutzernamen und Passwörter aus der Server-Datenbank entnommen werden. Vielmehr werden über das Leck die Daten der Internetnutzer häppchenweise aus dem Arbeitsspeicher des Servers ausgelesen und an den Angreifer weitergeleitet. Ist der Angreifer einmal in den Besitz von Daten wie Passwörtern und geheimen Schlüsseln gekommen, kann er die Kommunikation abhören und Daten direkt von den Diensten und Benutzern abgreifen und sich selbst als Dienst oder Benutzer ausgeben.
In Bezug auf den Namen der Server-Funktion tauften die Entdecker den Fehler daher "Heartbleed", weil er Informationen sozusagen "ausblutet".
Sind alle Seiten betroffen, die als sicher gelten?
Nein, aber sehr viele. Die Schwachstelle befindet sich im Verschlüsselungsprotokoll von OpenSSL, das von rund zwei Drittel aller Webserver eingesetzt wird. Es gibt aber auch Server, die das Protokoll nicht benutzen und deshalb von der Lücke nicht betroffen sind.
Wie lässt sich erkennen, welche Seiten das unsichere Protokoll benutzen?
Internetnutzer können von außen nicht erkennen, welche Protokolle eingesetzt werden. Allerdings stehen im Internet derzeit zwei Tests zur Verfügung: Unter den Adressen http://filippo.io/Heartbleed/ und possible.lv/tools/hb lässt sich testen, ob besuchte Webseiten und genutzte Online-Dienste von der aktuellen Sicherheitslücke in der Software OpenSSL betroffen sind. Bei dem Test kann jeder eine beliebige "https://"-Adresse eingeben und überprüfen, etwa "https://www.postbank.de".
Wer nicht selbst testen möchte, kann auch in einer Liste der 10.000 größten Webseites nachsehen, die auf die Schwachstelle geprüft wurden. Der Test stammt vom 10. April 2014 gegen 15 Uhr. Seiten, die dort als "vulnerable" gekennzeichnet sind, sind von der SSL-Lücke noch betroffen. Allerdings können die Seitenbetreiber zwischenzeitlich reagiert und die Lücke geschlossen haben.
Die Deutsche Telekom hat die Lücke unmittelbar nach Bekanntwerden geschlossen und die serverseitigen SSL-Zertifikate ausgetauscht. Auch die deutschen Banken und Sparkassen haben entsprechende Maßnahmen eingeleitet oder abgeschlossen. Bei Google waren die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen. Laut Angaben von Google seien die Sicherheitslücke inzwischen geschlossen.
Muss ich meine Passwörter ändern?
Wer in letzter Zeit verwundbare Webseiten oder Dienste genutzt hat, sollte seine Passwörter unbedingt ändern. Es gibt eine Liste mit amerikanischen Anbietern, die von der Lücke betroffen waren und die empfehlen, das Passwort zu ändern. Darunter sind Seiten wie Facebook, Dropbox und Yahoo. Nicht betroffen sind beispielsweise PayPal, Microsoft und Amazon.
Ein nützliche Hilfe beim Erstellen neuer Passwörter sind kostenlose Tools wie zum Beispiel der . So lassen sich leicht für jeden Online-Dienst lange und sichere Passwörter mit Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen erstellen. Da sich sichere Passwörter in der Regel schwer merken lassen, empfehlen sich sogenannte Passwort-Manager, die alle Passwörter verschlüsselt auf der Festplatte speichern. Ein beliebtes und kostenloses Programm dieser Art ist .
Darüber hinaus können Internetnutzer selbst kaum etwas tun, sondern müssen abwarten, bis Administratoren die Lücke geschlossen haben. Das sollte allerdings in den meisten Fällen bereits passiert sein.
Wer ganz sicher gehen will, kann in den nächsten ein bis zwei Tagen auf die Übermittlung sensibler Daten via Smartphone-Apps und im Internet verzichten, also weder Bankgeschäfte tätigen noch E-Mails abrufen. Wer nicht warten will, kann einen der oben erwähnten Heartbleed-Tests nutzen, um zu überprüfen, ob die von ihm genutzten Dienste sicher sind.
Meine genutzten Dienste sind nicht sicher. Was soll ich tun?
Da die meisten Anbieter längst reagiert haben, wirft das kein gutes Licht auf diesen Dienstleister. In diesem Fall müssen Sie so lange warten, bis die Lücke geschlossen wird. Es bringt auch nichts, jetzt Passwörter zu ändern, denn auch diese können ausgelesen werden.
Weitere spannende Digital-Themen finden Sie hier.
