Essen. . Heartbleed heißt er, der Fehler, der zu massiven Sicherheitslücken bei der Verschlüsselungstechnologie OpenSSL geführt hat. Unmengen an persönlicher Daten könnten nun leicht gehackt werden. Was Nutzer von Online-Banking, E-Mail-Programmen und Sozialen Netzwerken jetzt tun müssen.
Seit Bekanntwerden der Sicherheitslücke Heartbleed sind viele Internetnutzer besorgt, ob ihre Daten im Netz noch geschützt sind. Was die Nutzer über die Sicherheitslücke wissen müssen und wie sie ihre eigenen Daten vor Hackern schützen können.
Wo liegt die Sicherheitslücke?
Die Lücke klafft in einer Software namens OpenSSL. Das ist einer der Baukästen für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die Variante ist kostenlos und deswegen weit verbreitet. Das macht die Schwachstelle umso gravierender. Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL. Sicherheitsexperte Bruce Schneier spricht von einem "katastrophalen Fehler".
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat", Herzschlag.
Wie können Hacker die Schwachstelle ausnutzen?
Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler "Heartbleed", weil er Informationen "ausblutet".
Was sollten Nutzer jetzt tun?
Eine Liste der gängigen Mail-Anbieter, Banking-Portale und sozialen Netzwerke hat die Webseite "Mashable" zusammengestellt. Hier finden Nutzer auch eine Übersicht über Portale, bei denen bisher nicht sicher ist, ob Heartbleed hier Schaden anrichtet. Betroffene Webseiten sind unter anderem:
- Facebook - Ganz sicher ist es nicht, ob das Netzwerk betroffen war, doch die Nutzer sollten ein neues Passwort vergeben.
- Tumblr - Die Plattform hat ein Update der fehlerhaften Technologie SSL durchgeführt und ruft die Nutzer auf, neue Passwörter zu vergeben.
- Gmail - Zwar habe Google erklärt, dass Nutzer ihre Passwörter nicht zwingend ändern müssen. Wer aber auf der sicheren Seite sein will, sollte dies dennoch tun, rät Mashable.
- Yahoo - Der Anbieter arbeitet nach und nach an den Updates für die einzelnen Seiten. Den Nutzern von Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finance, Yahoo Sports, Yahoo Food, Yahoo Tech und Flickr rät Yahoo dazu, die Passwörter zu aktualisieren.
- Twitter - Ob der Kurznachrichtendienst tatsächlich betroffen ist, ist nicht sicher. Ein Update hat Twitter trotzdem durchgeführt . Mashable rät nicht ausdrücklich von einer Passwortänderung ab.
- Instagram - eine Beeinträchtigung konnte das Bilderportal nicht feststellen. Dennoch rät es seinen Nutzern, die Kennwörter zu ändern.
- Minecraft - die Webseite des Spiels ist ebenfalls von Sicherheitslücken durch Heartbleed betroffen. Durch Updates wurden diese geschlossen. Die Nutzer können ihre Passwörter nun ändern, um sich vor Datenklau zu schützen.
- Dropbox - der Anbieter erklärte via Twitter, dass er die Sicherheit wieder herstelle. Nutzer sollten ihre Kennwörter aktualisieren.
Auch eine Liste der nicht betroffenen Seiten gibt es auf der Webseite. Nicht betroffen von Heartbleed sind laut Mashable unter anderem Apple, Groupon, ebay und AOL.
Einige Internetseiten, die von der Sicherheitslücke betroffen waren, haben bereits gegengesteuert, ein Update bei ihren Servern durchgeführt und den SSL-Fehler behoben. Hier können und sollten Nutzer jetzt ihre Passwörter aktualisieren. Auch, wer auf mehreren - sowohl von Heartbleed betroffenen und nicht betroffenen - Seiten ein und dasselbe Passwort verwendet, sollte neue - und im besten Fall unterschiedliche Kennwörter vergeben.
Natürlich ist es möglich, dass sensible Daten bereits von Hackern gefischt wurden, doch sei dies, laut Mashable eher unwahrscheinlich, da die Sicherheitslücke auch bei Hackern noch nicht lange bekannt ist.
Wie gefährlich ist die Sicherheitslücke?
"Das Problem ist, dass ein Angreifer beliebige Information auslesen kann", sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. "Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle."
Woher stammt der Fehler?
Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem Programmierer aus Deutschland geschrieben. Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann. "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", erklärte er in einer E-Mail an "Spiegel Online".
Der Programmierer hat sich gegen Vorwürfe zur Wehr gesetzt, er habe den fehlerhaften Code im Auftrag von Geheimdiensten geschrieben. In Interviews beteuerte der Informatiker, dass es ein ungewollter Fehler gewesen sei. Er habe sich beim Verbessern der offenen Verschlüsselungssoftware OpenSSL im Programmiercode vertan, erklärte der Mann unter anderem "Spiegel Online". Unterdessen wurde die Dimension des Problems noch größer: Auch die Netzwerk-Ausrüster Cisco und Juniper entdeckten die Lücke in ihrer Technik.
Es ist eine offene Software, das heißt, jeder kann den Programmiercode einsehen und weiterentwickeln. Da Änderungen dokumentiert werden, war es nur eine Frage der Zeit, bis entdeckt wurde, wer den fehlerhaften Software-Code vor rund zwei Jahren geschrieben und wer ihn abgesegnet hatte. Der Fehler an sich sei "ziemlich trivial" gewesen. Auch ein Prüfer aus Großbritannien hatte den gravierenden Bug übersehen.(dpa)