 |
# taz.de -- Sicherheitslücke im Netz: „Heartbleed“ geht alle an |
|
|
|
> Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine |
|
> Vielzahl von Angeboten im Internet. Nutzern hilft nur ein |
|
> Passwort-Wechsel. |
|
|
 |
Bild: Dieses Symbolfoto darf von Online-Gaunern gern entwendet werden. Da häng… |
|
|
|
BERLIN dpa | Nach der Entdeckung der Schwachstelle in einer wichtigen |
|
Software zum Schutz von Daten im Internet wird die gewaltige Dimension der |
|
Sicherheitslücke immer deutlicher. Die Lücke „Heartbleed“ klafft in der |
|
weit verbreiteten Verschlüsselungs-Software OpenSSL. Nach Einschätzung von |
|
IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. |
|
Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu |
|
stopfen. |
|
|
|
[1][Google gab bekannt,] dass unter anderem die eigene Internet-Suche, der |
|
E-Mail-Dienst Gmail, Youtube und die Download-Plattform Play betroffen |
|
waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das |
|
Unternehmen mit. Auch deutsche Banken und Sparkassen schließen |
|
Sicherheitslücken in ihren Systemen. |
|
|
|
SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und |
|
Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des |
|
Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, |
|
wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel |
|
Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits |
|
abgesicherten Websites die Passwörter wechseln. |
|
|
|
Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des |
|
Internetkonzerns Yahoo. Andere große Anbieter wie Apple, Amazon oder |
|
Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der |
|
Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online |
|
einzureichen. |
|
|
|
## „Auf einer Skala von 1 bis 10 ist es eine 11“ |
|
|
|
„Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung |
|
des Internets sein“, sagte der Chef der IT-Sicherheitsfirma CloudFlare, |
|
Matthew Prince, [2][dem Wall Street Journal.] Der bekannte |
|
Internet-Sicherheitsexperte |
|
[3][//www.schneier.com/blog/archives/2014/04/heartbleed.html:Bruce Schneier |
|
schrieb:] „Auf einer Skala von 1 bis 10 ist es eine 11.“ Ein |
|
Netzwerk-Experte [4][sagte dem Technologieblog Ars Technica,] er habe in |
|
alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle |
|
bereits im November 2013 auszunutzen. |
|
|
|
Die Schwachstelle findet sich in einer Funktion, die eigentlich im |
|
Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung |
|
regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch |
|
online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag. Die |
|
Schwachstelle wurde deswegen „Heartbleed“ genannt. |
|
|
|
Kriminelle können so nicht nur vermeintlich geschützte Informationen |
|
auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die |
|
einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update |
|
beheben. Das Bundesamt für Sicherheit in der Informationstechnik rät ihnen |
|
zudem, neue Schlüssel zu beantragen. Diese Schlüssel sind nötig, damit die |
|
Verschlüsselung der Daten funktioniert. Sie könnten durch den Fehler |
|
gestohlen worden sein. |
|
|
|
## Ohne großes Aufsehen dichtmachen |
|
|
|
Die Deutsche Kreditwirtschaft (DK), die Dachorganisation der |
|
Bankenverbände, erklärte am Donnerstag, nach Bekanntwerden der |
|
Schwachstelle sei sofort überprüft worden, ob die Geldinstitute betroffen |
|
seien. „Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur |
|
Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise |
|
abgeschlossen worden.“ |
|
|
|
Der Plan sei eigentlich gewesen, die Schwachstelle ohne großes Aufsehen im |
|
Hintergrund dichtzumachen, schrieb das Wall Street Journal unter Berufung |
|
auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits |
|
Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden. |
|
|
|
11 Apr 2014 |
|
|
|
## LINKS |
|
|
 |
[1] http://googleonlinesecurity.blogspot.de/2014/04/google-services-updated-to-… |
|
[2] http://m.us.wsj.com/articles/SB10001424052702303873604579491350251315132?mo… |
|
[3] http://https |
|
[4] http://arstechnica.com/security/2014/04/heartbleed-vulnerability-may-have-b… |
|
|
|
## TAGS |
|
|
|
Heartbleed |
|
Passwort |
|
|
|
Yahoo |
|
Schwerpunkt Überwachung |
|
Finanzen |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
Heartbleed |
|
Datenschutz |
|
Betriebssystem |
|
|
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Verschlüsselte Apple-Geräte: Du kommst hier (eventuell) nicht rein |
|
|
|
Der iPhone-Hersteller legt sich mit dem FBI wegen einer Hintertür in seiner |
|
Verschlüsselung an. Das ist PR, aber nicht nur. |
|
|
|
„Heartbleed“ und Open-Source-Software: Sicherheit kostet |
|
|
|
Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die |
|
Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme |
|
schaffen. |
|
|
|
Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest |
|
|
|
Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die |
|
Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen. |
|
|
|
„Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden |
|
|
|
Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein |
|
unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der |
|
Technik. |
|
|
|
Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler |
|
|
|
Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das |
|
Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert |
|
wird. |
|
|
|
Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor? |
|
|
|
Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren |
|
Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für |
|
Geheimdienste. |
|
|
|
Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“ |
|
|
|
Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint |
|
Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails |
|
schreiben. |
|
|
|
Ende von Windows XP: Microsoft lässt Nutzer hängen |
|
|
|
Der Konzern liefert keine Aktualisierungen mehr für das Betriebssystem |
|
Windows XP – obwohl weltweit 400 Millionen Geräte damit laufen. Was nun? |
|
|
|
BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken |
|
|
|
„Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland |
|
könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle |
|
anderen. |
