AA

Online-Sicherheitslücke "Heartbleed" nimmt gewaltiges Ausmaß an

Bei gewissen Diensten sollte das Passwort gewechselt werden
Bei gewissen Diensten sollte das Passwort gewechselt werden ©Bilderbox
Nach der Entdeckung der Schwachstelle in einer wichtigen Software zum Schutz von Daten im Internet wird die gewaltige Dimension der Sicherheitslücke immer deutlicher.
Schwachstelle ermöglicht Datendiebstahl

Die Lücke “Heartbleed” (Blutendes Herz) klafft in der weitverbreiteten Verschlüsselungs-Software OpenSSL. Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein.

Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen. Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen mit. Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen.

Passwörter wechseln

SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.

Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des Internetriesen Yahoo. Andere große Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.

Schlimmste Schwachstelle

“Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein”, sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem “Wall Street Journal”. Der bekannte Internet-Sicherheitsexperte Bruce Schneier schrieb: “Auf einer Skala von 1 bis 10 ist es eine 11.” Ein Netzwerk-Experte sagte dem Technologieblog “Ars Technica”, er habe in alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle bereits im November 2013 auszunutzen.

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion “Heartbeat”, Herzschlag. Die Schwachstelle wurde deswegen “Heartbleed” genannt.

Kriminelle können so nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update beheben.

Welche Passwörter betroffen sind

Die Website Mashable hat nun eine Liste veröffentlicht, welche Dienste betroffen sind. Einige Internetfirmen haben ihre Server bereits auf den neuesten Stand gebracht und die Sicherheitslücke geschlossen. Mittlerweile gibt es auch Web-Programme, die bei der Identifizierung betroffener Web-Portale helfen: Mit diesem Web-Formular kann überprüft werden, ob die von Ihnen benutzte Webseite von dem “Heartbleed”-Bug betroffen ist.

  • VIENNA.AT
  • Multimedia & Technik
  • Online-Sicherheitslücke "Heartbleed" nimmt gewaltiges Ausmaß an
  • Kommentare
    Kommentare
    Grund der Meldung
    • Werbung
    • Verstoß gegen Nutzungsbedingungen
    • Persönliche Daten veröffentlicht
    Noch 1000 Zeichen