Sicherheitslücke Heartbleed
Der Schock wirkt noch nach

Heartbleed ist nicht mehr in den Schlagzeilen – und trotzdem noch ein Problem. Viele Webseiten sind noch immer nicht gegen die Schwachstelle in der Verschlüsselungssoftware OpenSSL abgesichert. Eine Zwischenbilanz.
  • 1

Es klingt nach einer unglücklichen Liebe, ist aber eine riesige Sicherheitslücke: Heartbleed jagte der Internetbranche im April einen mächtigen Schock ein. Der Programmierfehler in der Verschlüsselungssoftware OpenSSL ermöglichte es Angreifern, auf vermeintlich geschützte Informationen zuzugreifen, etwa Passwörter oder Kontodaten. Zahllose Webseiten und Internet-Dienste waren verwundbar, darunter namhafte Unternehmen wie Google, Yahoo und Dropbox.

Inzwischen hat sich die Aufregung gelegt. Doch eine Zwischenbilanz nach einem halben Jahr fällt bestenfalls gemischt aus: Gerade die großen Unternehmen haben schnell reagiert, dennoch sind noch mehrere Hunderttausend Systeme ungeschützt – und sie dürften es vermutlich auch noch länger bleiben.

Genaue Zahlen lassen sich nur unter großem Aufwand ermitteln. Doch einige Studien liefern Anhaltspunkte. So haben die beiden deutschen Forscher Christoph Sorge und Nils Gruschka untersucht, ob auf den beliebtesten 20.000 Seiten der Welt noch die alte, unsichere Software zum Einsatz kommt. Als Grundlage nahmen die Professoren aus Saarbrücken und Kiel die Liste des Statistikdienstes Alexa. Ende September waren davon 215 verwundbar, von den rund 500 Adressen mit der deutschen .de-Endung jedoch nur eine.

Zudem haben die Forscher überprüft, ob die Website-Betreiber nach der Software-Aktualisierung auch die kryptografischen Schlüssel sowie die Zertifikate ausgetauscht haben – beides ist gleichzeitig nötig, um die Informationen für Außenstehende unleserlich zu machen. „Geschieht das nicht, ist das mindestens ein handwerklicher Fehler“, sagt Gruschka, der an der Fachhochschule Kiel den Studiengang Informationstechnologie und Internet leitet. Unter den 100 beliebtesten deutschen Webseiten mit .de-Endung waren das immerhin drei.

Fazit: Die beliebtesten deutschen Webseiten sind weitgehend geschützt. „Bei kleineren Anbietern wird es vermutlich noch mehr Probleme geben, aber insgesamt sieht es bei den deutschen Webseiten gut aus“, sagt Sorge, der einen Lehrstuhl an der Universität des Saarlandes hat.

Dieser Eindruck bestätigt sich auch international. Ein Team von elf Forschern mehrerer amerikanischer Universitäten stellte in einer groß angelegten Untersuchung fest, dass ein Großteil der Website-Betreiber bereits in den ersten zwei Wochen Updates einspielte. Ein kleiner Anteil ignorierte aber offenbar alle Warnungen: Nach zwei Monaten waren noch drei Prozent verwundbar. Von den betroffenen Portalen ersetzten zudem nur 10 Prozent die Zertifikate. Die Schlussfolgerung: Wer die Lücke jetzt noch nicht geschlossen hat, wird es vermutlich auch nicht so bald tun.

Kommentare zu " Sicherheitslücke Heartbleed: Der Schock wirkt noch nach"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Was Vorstand und Firmeninhaber über die Sicherungsmöglichkeiten der heutigen IT-Infrastruktur wissen sollten (und das sind die wirklichen Probleme):
    Zwar liegen Ihre "Kronjuwelen" (sprich: Blaupausen, Erfindungen,...) in einem "Safe", gehen Sie aber davon aus, dass der eine oder andere Spionagedienst Zweitschlüssel besitzt.
    Zwar sind Ihre Know-how-Träger verschwiegen, gehen Sie aber davon aus, dass der eine oder andere Spionagedienst mitliest, was sie auf ihrem PC so treiben.
    Zwar mögen Preisinformationen und Kalkulationen Ihrer Produkte und/oder Dienstleistungen geheim sein, gehen Sie aber davon aus, dass der Stempel geheim den einen oder anderen Spionagedienst geradezu anlockt, Ihr Geheimnis zu enttarnen.
    Gehen Sie davon aus, dass die IT-Industrie Sie in - falscher - Sicherheit wägen will.
    Gehen Sie davon aus, dass auch persönliche Daten bei anderen Firmen und Behörden, trotz gegenteiliger Beteuerungen, von interessierter Seite abgegriffen werden (jüngstes Beispiel: bayerische Steuerbehörden - guten Morgen Herr Söder!).
    Gehen Sie davon aus, dass die Sicherheitsempfehlungen sogenannter IT-Experten funktional zwar richtig und berechtigt sind, aber aus einer integrierten Gesamtsicht heraus unvollständig und lückenhaft sind.
    Gehen Sie davon aus, dass die Stellen, die sich unberechtigterweise Zugang zu Ihren Daten verschafft haben, auch Fehler machen (z.B. Ihre Daten nicht sicher aufbewahren, Identitäten vertauschen, etc).
    Wenn Sie sich von diesem Schock erholen wollen, empfehle ich Ihnen die NSA-Trilogy des Singer-Songwriter's Sigismund Ruestig:

    http://youtu.be/v1kEKFu6PkY
    http://youtu.be/pcc6MbYyoM4
    http://youtu.be/_a_hz2Uw34Y

    Viel Spaß beim Anhören.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%