Sicherheitslücke „Heartbleed“: Auch kleine Shops und Vereinsseiten müssen handeln
Die Sicherheitslücke „Heartbleed“ bringt jetzt auch kleine Online-Shops und Vereinsseiten in Gefahr. Kriminelle suchen momentan großflächig das Internet ab, ob sie die Lücke finden und ausnutzen können, berichtet das Bundesamt für Sicherheit in der Informationstechnik.
„Heartbleed“ ist ein Fehler in der Verschlüsselungstechnik OpenSSL, die von Millionen Internetseiten verwendet wird. Durch die Lücke können Angreifer die eigentlich gesicherten Daten auslesen. Entdeckt wurde „Heartbleed“ am 7. April 2014. Einen Tag später schlug das BSI Alarm, damit Bundes- und Länderbehörden, Energieversorger, Internetfirmen und andere „Unternehmen der Kritischen Infrastrukturen“ die Sicherheitslücke schließen können.
„Inzwischen hätten viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch ein Sicherheitsupdate geschlossen und die Zertifikate erneuert“, so das Bundesamt. Man habe aber festgestellt, „dass derzeit noch viele Webseiten zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen für „Heartbleed“-Angriffe verwundbar sind“. Solche Webseiten würden oftmals ohne professionellen Update-Prozess betrieben.
Das sei kritisch, weil das BSI weiterhin großflächige Scans nach für „Heartbleed“ verwundbare Servern registriert. „Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die OpenSSL einsetzen, im Fokus.“
Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt auch für Sicherheitskomponenten, die OpenSSL einsetzen, wie zum Beispiel Firewalls. Betreiber von Webservices können mit der Analyse-Software OpenVAS (Open Vulnerability Assessment System) prüfen, ob ihre Anwendung vom „Heartbleed Bug“ betroffen ist.
Das BSI bewertet den Aufwand für einen Angreifer als sehr hoch, den privaten SSL-Schlüssel des Serverbetreibers auszulesen. Trotzdem sollten sicherheitshalber SSL-Zertifikate von Servern, die verwundbar waren, ausgetauscht werden.
Die „Heartbleed“-Schwachstelle ist für großflächige, ungezielte Angriffe geeignet. Sie kann zwar nicht genutzt werden, um gezielt das Passwort eines gewünschten Benutzers auslesen. Es sei aber leicht möglich, Passwörter der Nutzer, die aktuell in einem von der Schwachstelle betroffenen Dienst eingeloggt sind, auszulesen.
Nutzer sollten sich laut BSI beim Betreiber von genutzten Diensten erkundigen, ob sie ihre Systeme gegen „Heartbleed“ geschützt haben. Wenn ja, sollten sie ihre Passwörter kurzfristig ändern.