Passwörter wechseln? Was Sie zur Sicherheitslücke Heartbleed wissen müssen
Alle reden von Heartbleed: Nach dem Bekanntwerden dieser neuen gewaltigen Sicherheitslücke sollen Millionen Internetnutzer ihre Passwörter wechseln. Warum ist das so? Und was ist Heartbleed überhaupt? Hier die wichtigsten Fragen und Antworten.
Was ist Heartbleed?
Heartbleed ist eine Sicherheitslücke im Verschlüsselungsprogramm OpenSSL. Diese Software wird von sehr vielen Internetseiten, Mail-Diensten und Chats dazu verwendet, die Kommunikation zu verschlüsseln. Vor gut zwei Jahren versuchte ein deutscher Programmierer, OpenSSL zu verbessern und machte dabei einen Fehler. Von diesem Zeitpunkt an konnten Kriminelle die eigentlich abgesicherten Daten ausspionieren. Dazu gehören Nutzerdaten und Passwörter ebenso wie die Kommunikation, die über diese Dienste und Seiten liefen.
Welche Dienste sind von der Sicherheitslücke Heartbleed betroffen?
OpenSSL wird von sehr vielen Internetseiten und Plattformen benutzt. Darunter sind so große Anbieter wie Facebook, Google, Yahoo, Tumblr und Dropbox.
Warum heißt die Sicherheitslücke Heartbleed?
Der deutsche Programmierer arbeitete an einer Funktion namens Heartbeat. Das heißt übersetzt so viel wie Herzschlag. Heartbeart ist dafür zuständig, dass Internetrechner sich gegenseitig darüber verständigen, dass sie im Netz in Kontakt miteinander stehen. Als die Sicherheitslücke in Heartbeat bekannt wurde, tauften sie Experten kuzerhand Heartbleed, was so viel bedeutet wie Herzbluten.
Wie gefährlich ist Heartbleed?
Leider sehr gefährlich. Der renommierte Sicherheitsexperte Bruce Schneier stufte sie „auf einer Skala von 0 bis 10 bei 11“ ein. Heartbleed heißt nichts anderes, als dass Kriminelle zwei Jahre lang auf eigentlich geschützte Daten von uns und alle unsere Passwörter zugreifen konnten. Auch rückwirkend besteht noch die Gefahr, dass Angreifer Daten auslesen können, die sie nichts angehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Schwachstelle deshalb auch als kritisch ein. „Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die „Heartbeat“-Erweiterung aktiviert haben. Mithilfe des „Heartbleed Bugs“ können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden“, so das BSI.
Wurde die Sicherheitslücke denn schon ausgenutzt?
Vermutlich ja. Das Problem ist, dass es nicht auffällt, wenn Kriminelle sich mithilfe des FEhlers in OpenSSL DAten verschafft haben. Es könnte also sein, dass Betrüger jetzt ungezählte Passwörter argloser Internetnutzer haben – und niemand davon weiß. Fachleute glauben außerdem, dass auch Geheimdienste wie die amerikanische NSA“Heartbleed“ ausnutzten, um uns auszuspionieren.
Was muss ich denn jetzt machen?
Ganz einfach: Gehen Sie davon aus, dass ihre geheimen Passwörter für Dienste wie Facebook, Google und Ihren Mailanbieter kompromittiert, also in den Händen von Verbrechenr und Geheimdiensten, sind. Ändern Sie Ihre Passwörter sofort. Damit Sie zumindest von jetzt an geschützt sind.
Ist die Sicherheitslücke jetzt repariert?
Viele Anbieter haben die Lücke mittlerweile gestopft. Trotzdem raten Dienste wie Facebook und Tumblr, aber auch Yahoo ihren Nutzern dazu, das Passwort zu ändern.
Werde ich darüber informiert, dass mein Passwort komprimittiert ist?
Nein! Bitte seien Sie sehr vorsichtig, wenn Sie Mails bekommen in denen behauptet wird, Sie müssten Ihr Passwort erneuern und dazu einern bestimmten Link klicken. Es könnte sich um einen Betrugsversuch handeln.
Ist auch das Online-Banking von Heartbleed betroffen?
Die Dachorganisation der Bankenverbände hat am Donnerstag indirekt zugegeben, dass auch deutsche Geldinstitute von der Sicherheitslücke betroffen waren, berichtet die FAZ. Bei verschiedenen Sparkassen und Banken sei die Sicherheitslücke bei der Verschlüsselung auch noch nicht repariert.
Ich habe meine Passwörter geändert. Bin ich jetzt sicher?
Jein. Kriminelle Trittbrettfahrer könnten in den kommenden Tagen versuchen, die Unsicherheit in Sachen Heartbleed auszunutzen. So ist nicht ausgeschlossen, dass Sie in den kommenden Tagen Mails erhalten, in denen Sie dazu aufgefordert werden, auf bestimmten Seiten ihr Passwort einzugeben und zu ändern. Bitte seien Sie hier sehr vorsichtig: Solche Mails sind in der Regel Fälschungen.
Was sollte ich als Betreiber einer Webseite oder eines Maildienstes mit Verschlüsselung tun?
Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt. Betreiber, die auf ihren Servern OpenSSL einsetzen, sollten das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter.