Bochum. . Mehr als zwei Jahre existiert die Sicherheitslücke beim Verschlüsselungsprogramm OpenSSL bereits. Öffentlich bekannt wurde das Problem jedoch erst vor wenigen Tagen. Internetdienste melden, sie hätten die Lücke geschlossen. Andere rufen zum “Change-your-Passwort“-Tag auf.
Was ist beunruhigender: Eine Hacker-Attacke die, kaum gestartet, bekannt wird, oder der Hinweis auf eine Sicherheitslücke mit großer Tragweite, die bereits seit mehr als zwei Jahren besteht? "Heartbleed" ist Letzteres. Und bei Internet-Unternehmen hat sie jetzt für hektisches Handeln gesorgt. Aber auch Computernutzer sollten reagieren, empfehlen Experten. Zumal das Problem schon länger besteht und Cyberkriminelle möglicherweise erst jetzt aktiv werden, um es auszunutzen.
Es ist eine unangenehmen Entdeckung, denn es geht um Verschlüsselungszertifikate für den Datenaustausch zwischen Rechnern im Internet. Betroffen sind viele große Anbieter, darunter Google, Facebook, Twitter, Yahoo, Amazon, Instagram und Dropbox. Im Sicherheitsprotokoll OpenSSL ist durch einen Programmierfehler eine Lücke entstanden. Die existiert bereits seit Dezember 2011. Aber erst vor wenigen Tagen ist das Problem bekannt geworden.
Auch interessant
Heartbleed - ein ziemlich trivialer Fehler
Im Detail geht es um die Funktion "Heartbleed" - Herzblut - , erklärt Ralf Benzmüller, Leiter des Forschungslabors beim Bochumer Unternehmen G-Data, das unter anderem Antivirenprogramme für Computer entwickelt. "Heartbleed zeigt beim Datenaustausch an, dass die Verbindung noch besteht", erklärt Benzmüller. Also eine ganz triviale Grundfunktion. Das Problem daran aber ist: Es geht nicht nur um den Austausch eines Signals, das in einer menschlichen Unterhaltung einem "Hm" oder einem Nicken entspricht. "Mit der Funktion Heartbleed können bis zu 64 Kilobyte Daten übermittelt werden", sagt Ralf Benzmüller - und das können zum Beispiel Daten von Zertifikatsschlüsseln oder Passwörter sein, zusammen etwa mit Name und Adresse der Nutzer.
"Solche Daten sind bei Cyberkriminellen richtig Geld wert", sagt Ralf Benzmüller. Noch habe man bei G-Data keine Hinweise darauf, dass irgendwo im Internet mit solchen Daten bereits gehandelt würde. Anders als etwa bei Hacker-Attacken gehe es jetzt also nicht um bereits erfolgte Angriffe.
OpenSSL-Leck - wer muss nun reagieren?
In erster Linie sind nun die Internet-Unternehmen in der Pflicht, schnellstmöglich Updates einzupflegen, um die Verschlüsselung jeglicher Kommunikation wieder zu gewährleisten, sagt Ralf Benzmüller von G-Data. Google etwa hat das jüngst mitgeteilt. Laut dem Portal heise.de, raten Yahoo - wo man nun zum "Change-your-Password"-Tag aufruft - und der deutsche Maildienst Web.de jetzt ihren Nutzern, dringend die Passwörter zu ändern.
Gerade für Mailanbieter ist die OpenSSL-Lücke ein GAU, der sich wohl nicht so schnell beheben lässt. Wirklich lösten lässt sich das Problem erst, wenn neue Sicherheitszertifikate beantragt werden, meint Ralf Benzmüller. "Das ist administrativ aufwändig" und kostet Geld. Auch Betreiber von Webservern sollten dringend für Updates ihrer Sicherheitsprogramme sorgen.
Auch interessant
Auch Passwortmanager könnten gehackt werden
"Wenn man als Nutzer keinen Webserver betreibt, muss man eigentlich erstmal nichts tun", sagt Ralf Benzmüller. Dennoch hält er es für leichtsinnig, das OpenSSL-Problem als einfacher Computernutzer nun auszusitzen: "Das ist kein Problem, das sich mit Virenscannern beheben lässt", sagt Benzmüller. Es empfehle sich ohnehin, Passworte regelmäßig zu ändern, meint er. Doch, Vorsicht: Passwortmanager, die solche Zugangscodes generieren, könnten derzeit auch vom Sicherheitsleck betroffen sein - wenn sie Sicherheitszertifikate auf Basis von OpenSSL nutzen, dann könnten Cyberkriminelle auf einen Schlag sämtliche Passwörter ausspionieren.
Aus Sicht von Ralf Benzmüller wäre es nun jedoch ein Fehler, Verschlüsselungsverfahren generell zu verdammen: "Verschlüsselung ist nach wie vor gut und sinnvoll", sagt Benzmüller. Bei Heartbleed gehe es um den Programmierfehler in einer kostenlosen Anwendung. Benzmüller: "Der lässt sich beheben".
Das US-Technikportal Mashable hat eine Liste veröffentlicht mit Einschätzungen, wie Internetdienste derzeit agieren und welche Portale vom "Heartbleed"-Leck betroffen sind. Informationen dazu finden sich hier.