Programmierfehler schockt IT-Experten

Heartbleed: SSL-Sicherheitslücke gefährdet Datenverkehr

Heartbleed Logo

Der Heartbleed-Bug reißt ein riesiges Sicherheitsloch in die Verschlüsselungssoftware OpenSSL. (Bild: heartbleed.com)

Was Apple-Nutzern bereits im Februar mit dem „go-to fail“ vor Augen geführt wurde, erleben nun Millionen andere Privatanwender und IT-Experten in einer computertechnischen Katastrophe noch viel größeren Ausmaßes. Vom sogenannten Heartbleed-Bug sind schätzungsweise zwei Drittel aller Webserver betroffen, da diese auf die Verschlüsselungssoftware OpenSSL zurückgreifen. Eine Garantie für sicheren Datenaustausch ist somit nicht gewährleistet. Doch was noch viel schlimmer ist: Die Sicherheitslücke scheint schon mehr als zwei Jahre zu bestehen.

Was ist OpenSSL?

Um die Tragweite des Heartbleed-Bugs realisieren zu können, muss man zunächst wissen, was OpenSSL überhaupt ist. Denn, nur wenn man nachvollziehen kann, wo und zu welchem Zweck es eingesetzt wird, kann man verstehen, weshalb Experten sogar von einem virtuellen Super-GAU sprechen.

OpenSSL ist eine Verschlüsselungssoftware, die maßgeblich zu einer sichereren Informationsübertragung im Internet beitragen soll. Es ist kostenlos und auch aus diesem Grund sehr weit verbreitet – wie erwähnt nutzen etwa zwei Drittel aller Webserver die Software. Betroffen sind zum Beispiel:

  • Webseiten
  • Chatprogramme
  • Mailing-Dienste
  • VPN-Netzwerke

Ob eine besuchte Homepage die SSL-Verschlüsselungssoftware verwendet, lässt sich ganz einfach anhand der Adressleiste des Browsers überprüfen. Bei SSL-verschlüsselten Seiten steht anstelle des „http://“ ein „https://“. Die Realität ist paradox: Was eigentlich ein besonderes Sicherheitsmerkmal darstellen sollte, deutet jetzt auf die Gefahr des Heartbleed-Bugs hin.

Die Passwörter bei betroffenen Diensten schnell ändern.

Die Passwörter bei betroffenen Diensten schnell ändern. (Bild: HaywireMedia – Fotolia.com)

Der Heartbleed-Bug

Wo liegt nun der Programmierfehler in der Software und wie kommt er zu seinem Namen? Der Fehler tritt in einer Funktion namens “Heartbeat“ auf, die dafür Sorge trägt, dass eine permanente Verbindung zwischen Kommunikationspartnern besteht und diese nicht immer neu initialisiert werden muss. Die Betriebsbereitschaft von kommunizierenden Systemen wird also ständig überprüft. Ein Fehler in eben dieser Funktion eröffnet Angreifern des Webservers nun die Möglichkeit, auf dessen Arbeitsspeicher zuzugreifen und Daten abzurufen. In diesem Zusammenhang wurde von Heartbeat der Begriff Heartbleed abgeleitet.

Im Zuge des Bekanntwerdens der Sicherheitslücke wurde eine Liste mit gefährdeten Internetseiten veröffentlicht. Auch Portale, die in Deutschland als sehr populär gelten, sind darauf zu finden:

  • Web.de
  • Flickr
  • Yahoo
  • Steam
  • Facebook
  • Dropbox

Was kann der Privatnutzer tun?

Gegen den Heartbleed-Fehler an sich kann man als privater Internetnutzer überhaupt nichts tun. Hier liegt die Verantwortung allein bei den Betreibern der betroffenen Webseiten, die genutzte OpenSSL Version auf den aktuellen Stand zu bringen und somit ein Update auf Version 1.0.1g durchzuführen. Diese behebt den Heartbleed-Bug. Da der Fehler wahrscheinlich mehr als 2 Jahre unentdeckt blieb, ist die Möglichkeit durchaus gegeben, dass innerhalb dieser Zeit bereits verschiedene Daten in die Hände Dritter fielen.

  • Tipp: Um das Risiko zukünftigen Datenmissbrauchs zu verringern, ist die Änderung von Passwörtern, gegebenenfalls auch von Benutzernamen, eine unverzichtbare Maßnahme.

Optionen

Drucken Drucken Schriftgröße Schrift vergrößern Schrift verkleinern Schriftgröße zurücksetzen
1 Star2 Stars3 Stars4 Stars5 Stars (noch nicht bewertet)
Loading...Loading...

Kommentar abgeben