"Heartbleed"-Bug: Schaden auch für Österreich
“Mindestens 30.000 Server sind betroffen und fünf bis 15 Prozent aller ‘.at’-Domains”, lauteten die ersten Prognosen von “CERT.at”-Mitarbeiter Aaron Kaplan im Gespräch mit der APA.
“Heartbleed” ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und im schlimmsten Fall können dabei heikle Userdaten wie etwa Passwörter ausgespäht werden. Und abgefragt wird laut Kaplan in hohem Ausmaß, nachdem mit sogenannten “Proof of Concept”-Codes auch Laien problemlos die Schwachstelle ausnützen können.
Bei den Angriffen werden zwar nur kleine Datensätze in der Größe von 64 Kilobyte ausgelesen, jedoch können diese beliebig oft wiederholt werden. User sollten ihre Passwörter daher vorsorglich ändern. Der “Heartbleed”-Bug hat es etwa bereits ermöglich, Userdaten von Yahoo-Nutzern abzufragen.
Nachdem die erste fehlerhafte OpenSSL-Version laut bereits am 14. März 2012 veröffentlicht wurde, und nicht bekannt ist, ob die Schwachstelle nicht schon länger bekannt war und ausgenutzt wird, lässt sich das Ausmaß von “Heartbleed”-generierten Schäden nicht abschätzen.
Durch die “Heartbleed”-Schwachstelle bei der Verschlüsselungs-Software OpenSSL wurde auch die Homepage der Wiener Börse attackiert. Das Problem wurde laut Börse noch am selben Tag durch ein Update gelöst. “Zusätzlich wurde durch den Austausch des SSL Zertifikats für einen nachhaltigen Zugriffsschutz gesorgt”, so die Börse in einem Schreiben an ihre Nutzer.
Das Unternehmen empfiehlt den Nutzern ihr Passwort zu ändern und es regelmäßig zu aktualisieren. Der SSL-Hack hat laut den Internet-Aktivisten AnonAustria auch Webseiten der Wiener Linien, Erste Bank und oeticket.com betroffen. Und auch das Webmail-System des Justizministeriums soll betroffen gewesen sein.
