Sicherheitslücke Wie Heartbleed das Vertrauen ins Netz aushöhlt

Heartbleed ist ein GAU für das Vertrauen ins Internet: Die Sicherheitslücke hebelt eine wichtige Verschlüsselungstechnologie aus und macht Nutzer und Firmen angreifbar. Die Folgen lassen sich bislang kaum absehen.
3 Kommentare
Die Sicherheitslücke Heartbleed erschüttert das Vertrauen in Verschlüsselungstechnologien im Internet. Quelle: Reuters

Die Sicherheitslücke Heartbleed erschüttert das Vertrauen in Verschlüsselungstechnologien im Internet.

(Foto: Reuters)

DüsseldorfKleiner Fehler, monströse Folgen: In der Verschlüsselungstechnologie OpenSSL ist eine Sicherheitslücke entdeckt worden. Heartbleed – so der Name – ermöglicht Angreifern, geschützte Daten abzugreifen, etwa auch Passwörter. Davon sind potenziell Millionen von Menschen betroffen. Die Panne bereitet daher nicht nur Experten große Sorgen, viele Nutzer sorgen sich um ihre Daten und fürchten dabei auch materiellen Schaden. Die wichtigsten Fragen und Antworten in der Übersicht.

Warum ist die Sicherheitslücke so gefährlich?

Betroffen ist eine sehr häufig verwendete Verschlüsselungstechnologie namens OpenSSL, die von zahllosen Websites und Programmen verwendet wird. Banken, Online-Shops und E-Mail-Dienste nutzen sie beispielsweise. Angreifer können die Sicherheitslücke ausnutzen, um beispielsweise Nutzernamen und Passwort auszulesen. Mit anderen Worten: Die Daten von Millionen Nutzern sind nicht mehr sicher.

Welche Unternehmen sind betroffen?

Das Portal „Mashable“ hat eine Liste von betroffenen Internetangeboten zusammengestellt. Sie liest sich wie das „Who is who“: So sind Facebook, Instagram, Tumblr, Google und Yahoo (samt jeweiligen Mail-Angeboten) sowie Dropbox und Soundcloud betroffen. Alle genannten Dienste haben aber bereits Sicherheitsupdates durchgeführt. Wer sein Passwort ändert, muss nach derzeitigem Kenntnisstand also keinen erneuten Datenklau befürchten. PayPal, über das viele Ebay-Nutzer ihre Zahlungen abwickeln, ist nach eigenen Angaben weiterhin sicher. Bei Twitter ist es zum derzeitigen Zeitpunkt unklar, ob sich Datendiebe über das Heartbleed-Leck Zugang verschaffen konnten. Der italienische Programmierer Filippo Valsorda hat eine Seite ins Netz gestellt, auf der man testen kann, ob eine bestimmte Seite betroffen ist. Das Ergebnis ist allerdings nicht immer zuverlässig.

So gefährlich ist das „Heartbleed“-Sicherheitsleck
Datenschutz
1 von 8

Wer ist davon betroffen?

Die Lücke klafft in einer Software namens OpenSSL, einem Baukasten für das Sicherheitsprotokoll SSL. Das wiederum soll Daten auf dem Weg durchs Netz schützen und kommt bei einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen zum Einsatz. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet: Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL.

Jugendliche am Computer
2 von 8

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag.

File picture illustration of the word 'password' pictured through a magnifying glass on a computer screen taken in Berlin
3 von 8

Wie kann die Schwachstelle ausgenutzt werden?

Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler „Heartbleed“, weil er Informationen „ausblutet“.

File picture illustration of the word 'password' pictured on a computer screen taken in Berlin
4 von 8

 Wie gefährlich ist die Sicherheitslücke?

„Das Problem ist, dass ein Angreifer beliebige Information auslesen kann“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. „Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle.“

"Identitätsklau" im Internet
5 von 8

Was können Angreifer damit anfangen?

Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann eigentlich sichere Kommunikation mitlesen. Kriminelle könnten sich auch für eine andere Webseite ausgeben, etwa für die einer Bank, warnt Marian Gawron, der am HPI forscht. Wenn die echten, zuvor gestohlenen Sicherheitsinformationen nutzen, wäre das für den Nutzer kaum zu erkennen. Bisher sind keine Attacken bekanntgeworden, sagt Gawron. Aber: „Der Angriff ist sehr schwer nachzuvollziehen, weil er sehr unauffällig ist.“

huGO-BildID: 34758254 FILE - This March 23, 2012 file photo provided by software maker SAP shows one of the company's server rooms in Walldorf,
6 von 8

Wie kann der Fehler behoben werden?

Zunächst einmal sind die Betreiber von Webservern gefragt. Wenn sie die betroffene OpenSSL-Version benutzten, müssen sie zügig auf die jüngste Version umsteigen. Damit wird die Lücke erst einmal geschlossen. Das Problem ist: Der Fehler versteckte sich bereits zwei Jahre in der OpenSSL-Software, bis er auffiel. Angreifer könnten also bereits Passwörter und Verschlüsselungsinformationen abgefischt haben.

File photo of an IBM System x3755 M3 server in the data center at the EPFL in Ecublens
7 von 8

Was müssen Webseiten-Betreiber noch tun?

Es kann nicht zweifelsfrei ausgeschlossen werden, dass die Werkzeuge zur Verschlüsselung der eigenen Internetdaten gestohlen wurden. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. „Wer auf der sicheren Seite sein möchte, sollte die Schlüssel neu beantragen“, sagt HPI-Doktorand Gawrow. Das rät auch das Bundesamt für Sicherheit in der Informationstechnik.

Können die Datendiebe Online-Konten leerräumen?

In Deutschland wäre das schwierig. Denn selbst als eingeloggter Benutzer eines Online-Banking-Angebots muss man immer eine sechsstellige TAN-Nummer eingeben, bevor man eine Überweisung tätigen kann. Früher wurden TAN-Nummernlisten per Post an die Kunden versandt. Heute ist ein TAN-Generator üblich, der jedes Mal an den Computer-Bildschirm gehalten wird, um einen individuellen Code auszulesen und auf dieser Grundlage eine TAN-Nummer zu erstellen, mit der die Überweisung getätigt werden kann. Online-Konten, die Überweisungen ohne TAN-Eingabe erlauben, sind hingegen wesentlich missbrauchsanfälliger.

Hatte die NSA ihre Finger im Spiel?

Ausgerechnet ein deutscher Programmierer ist für die Sicherheitslücke verantwortlich: Er trug die fehlerhaften Programmzeilen zu OpenSSL bei. Man muss wissen: Es handelt sich um Open-Source-Software, an der jeder mitwirken und deren Quellcode jeder einsehen kann – so wurde auch der Fehler entdeckt.

Handelte der Deutsche im Auftrag des US-Geheimdienstes NSA? „In Zeiten des Spähskandals liegt bei einem solchen Vorkommnis die Frage nahe, ob es sich um eine von den Geheimdiensten herbeigeführte Sabotage-Aktion handelt“, schreibt der IT-Sicherheitsberater und Hacker Felix von Leitner in der Frankfurter Allgemeinen Zeitung. Der Programmierer selbst weist das zurück: Es handle sich um einen ungewollten Fehler, beteuerte der Informatiker: Er habe sich beim Verbessern der Software schlicht vertan.  Er bestreitet auch Kontakte zu Geheimdiensten oder potenziellen Profiteuren des Sicherheitslecks.

Müssen sich Smartphone- und Tablet-Nutzer auch Sorgen machen?

Das mobile Betriebssystem Android, das auf vielen Smartphones und Tablets läuft, ist in einigen Fällen durch die Heartbleed-Sicherheitslücke gefährdet. Betroffen ist vor allem die Android-Version 4.1.1. Wer eine neuere Android-Version nutzt, muss sich weniger Sorgen machen. Die Programmierer und Netzbetreiber sind nun gefragt und müssen schnell Sicherheitsupdates liefern. Problematisch ist jedoch, dass Android nicht nur auf Smartphones und Tablets verbreitet ist. Bisher sind nur wenige Informationen vorhanden, wie gefährdet beispielsweise Infotainment-Systeme in Fahrzeugen, Smart-TVs oder Set-Top-Boxen sind.

Sind auch staatliche Behörden betroffen?

Die kanadischen Finanzbehörden gehen wegen des „Heartbleed“ genannten Fehlers in der Verschlüsselungstechnologie SSL auf Nummer sicher: Sie schlossen am Mittwoch ihre Webseiten und damit auch die Möglichkeit, Steuererklärungen über das Internet abzugeben. Damit solle „die Integrität der Informationen gesichert werden, die wir aufbewahren„, hieß es in einer Notiz auf der Webseite der Canada Revenue Agency. Die Abschaltung kam drei Wochen vor Ablauf der Frist, bis zu der Steuererklärungen für 2013 abzugeben sind.

Was sollten Nutzer jetzt tun?

Nutzer sollten besonders bei sensiblen Daten ihre Passwörter ändern. Das macht allerdings erst Sinn, nachdem die Betreiber der jeweiligen Webseiten den OpenSSL-Fehler behoben haben. Dann ist aber schnelles Handeln gefragt. Denn selbst wenn die Betreiber der vom Heartbleed-Leck betroffenen Angebote Sicherheitsupdates durchführen, können sich die Datendiebe mit den bereits entwendeten Zugangsdaten weiterhin einloggen und Schaden anrichten – auch wenn sie bisher noch keinen Gebrauch von den Daten gemacht haben und der Diebstahl unbemerkt geblieben ist.

Wird die Sicherheitslücke bereits ausgenutzt?

Das Software-Unternehmen Kaspersky Lab beobachtet seit dem Bekanntwerden der Schwachstelle am Montag verstärkte Aktivitäten von Cyberkriminellen, die aus der Sicherheitslücke Kapital schlagen möchten. Die Cyberkriminellen seien in der Lage, „Stück für Stück den Systemspeicher des Web-Anbieters zu durchsieben und so Kreditkartendaten, Passwörter und weitere sensible Daten anderer Nutzer abzugreifen“, warnt Kaspersky-Experte Christian Funk. „Über das reale Ausmaß der abgegriffenen Daten kann nur gemutmaßt werden.“ Ein weiterer Hinweis: Laut US-Bürgerrechtsorganisation Electronic Frontier Foundation ist im vergangenen November von zwei IP-Adressen, die zu einem größeren Botnetz gehören sollen, eine verdächtige Abfrage erfolgt. Die Art der Sicherheitslücke macht die Beweisführung aber überaus schwer.

Was bedeutet das über den konkreten Fall hinaus?

Erst vor einigen Tagen ist bekannt geworden, dass Cyberkriminelle die Zugangsdaten zu Millionen von E-Mail-Konten gestohlen haben. Die OpenSSL-Lücke könnte das Vertrauen ins Netz weiter beschädigen. „Bei der Diskussion zur NSA-Affäre nannten viele Experten Verschlüsselung als Allheilmittel für den Schutz von Kommunikation und sensiblen Daten im Internet“, sagt Steve Durbin von der herstellerunabhängigen Organisation Information Security Forum. „Heartbleed macht nun deutlich, dass dem nicht so ist.“ Absolute Sicherheit gebe es im Cyberspace nicht. Unternehmen müssten daher immer im Auge behalten, dass sensible Informationen in falsche Hände gelangen könnten.

Mit Material von dpa und AP

Wie Hacker Ihr Smartphone knacken

Startseite

Mehr zu: Sicherheitslücke - Wie Heartbleed das Vertrauen ins Netz aushöhlt

3 Kommentare zu "Sicherheitslücke: Wie Heartbleed das Vertrauen ins Netz aushöhlt"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • Geht es bei solchen Artikeln wirklich um die Sicherheit?

    Oder verfolgen die Medienmacher ein anderes Ziel?

    Das Internet ist die einzige Möglichkeit frei an Informationen zu kommen ohne Zensur der geheimen Eliten (Die Bilderberger)!

    Die geheimen Eliten (Die Bilderberger) wollen mit Hilfe ihrer kontrollierten Propagandamedien das freie Internet unter dem Vorwand der Sicherheit zensieren!!!

    Eine Strategie der geheimen Eliten zur Gesellschafts-Manipulation:

    Erzeuge Probleme und liefere die Lösung!

    Diese Methode wird die "Problem-Reaktion-Lösung" genannt.
    Es wird ein Problem bzw. eine Situation geschaffen, um eine Reaktion bei den Empfängern auszulösen, die danach eine präventive Vorgehensweise erwarten.
    Verbreite Gewalt oder zettle blutige Angriffe an, damit die Gesellschaft eine Verschärfung der Rechtsnormen und Gesetze auf Kosten der eigenen Freiheit akzeptiert.

    Quelle: Sylvain Timsit "10 Strategien zur Gesellschafts-Manipulation"

  • So mancher IT-Vorstand, insbesondere jene Kategorie, die sich bisher wenig oder gar nicht um die Arbeit ihrer CIOs gekümmert haben, werden unruhige Zeiten vor sich haben. Immer noch werden Vorstände, die offen gesagt keine Ahnung von IT haben, CIOs vor die Nase gesetzt, die schalten und walten können wie sie wollen. Vorstände schauen nur auf potenzielle Kosten. Hauptsache der CIO stellt seinen Vorstand mit den neusten technischen Gimmicks zufrieden. IT-Sicherheit bleibt dann auf der Strecke.

    Es dürften zahlreiche Aktionärsportale von dem Sicherheitsproblem betroffen sein. Es ist alles eine Frage der Zeit, wann Verbände und in Shareholderkreisen die Erkenntnis herangereift ist, dass streng vertrauliche Daten nicht sicher sind.

    Spannend wird es dann, wenn diese Unternehmen nicht oder nicht rechtzeitig reagieren.

    Dann sollten Aufsichtsräte den Mut beweisen, Köpfe rollen zu lassen. Vielleicht werden so jene Nieten ins Abseits befördert und die Aufgaben in Vorstandsetagen und CIO-Kreisen nach Qualifikation verteilt.

    Es bieten sich somit gute Chancen in zahlreichen Unternehmen aufzuräumen!

  • Von monströs kann keine Rede sein. Das ist Bildzeitungs-Niveau.

    Seit Snowden weiss jeder, dass es keine absolute Abhörsicherheit gibt. Selbst die beste Verschlüsselung ist wertlos, wenn die Daten vor dem Verschlüsseln abgegriffen werden. Dies geschieht häufig durch Schadsoftware auf dem Rechner des Benutzers, die Tastatureingaben, Bildschirminhalte und anderes aufzeichnet. Solche Schadsoftware wird häufig durch Emails und besuchte Webseiten übertragen. Selbst kompromittierte Bilder und Werbung auf der Seite können einen Befall mit Schadsoftware verursachen.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%