Die Heartbleed Katastrophe

Egal ob bei Websites, Emails oder VPN-Netzwerken, geht es um Verschlüsselung im Internet, wird in der Regel auf TLS/SSL-Verschlüsselung zurückgegriffen. Genau dort ist aber mit nun ein Bug entdeckt worden, der zu den bisher massivsten Sicherheitslücken im Netz gezählt wird.

Der Fehler liegt in einer Funktion von OpenSSL, einer kostenlosen freien Version von TLS/SSL, die daher weit verbreitet ist.

Dort findet sich der Bug in der Heartbeat-Funktion, die im Hintergrund läuft. Sie hat die Aufgabe bei einer verschlüsselten Verbindung regelmäßig Daten hin und herzuschicken, um zu prüfen, ob beide Seiten noch immer online sind.

Durch die jetzt entdeckte Schwachstelle in dieser Funktion kann im Prinzip jeder im Netz auf den Hauptspeicher des, eigentlich durch OpenSSL geschützten Systems zugreifen. Dadurch kann ein Angreifer einen Server dazu bringen, statt nur dem Heartbeat Ping auch Informationen zu senden, die die komplette Verschlüsselung aushebeln. In kleineren Schritten von 64k bluten sensible Daten wie Passwörter oder Benutzernamen langsam aus. Daher auch der Name Heartbleed.

Was kann man als User tun?

Als User ist man zunächst einmal auf die Betreiber der Services angewiesen. Denn sie müssen die Sicherheitslücke auf ihren Servern schließen, d.h auf die neuste Version von OpenSSL updaten, die wichtigsten Zertifikate tauschen und Schlüssel neu beantragen.
Wenn diese Lücke geschlossen ist, sollten die User schleunigst ihre Passwörter ändern. Vorher macht es wenig Sinn, da neuen Passwörter ja wieder blank liegen würden.

Welche Dienste sind betroffen?

Mashable hat die beliebtesten Dienste aufgelistet und zeigt ob diese betroffen sind, oder nicht. Unter den betroffenen Diensten finden sich Namen wie Google, Facebook, Yahoo, ebay oder Dropbox. In Österreich sind laut CERN.at und Standard.at mehrere tausend Seiten betroffen, darunter die Wiener Börse, Bank Austria und die Wiener Linien. Ansonsten kann jeder mit dem Tool filippo.io/Heartbleed prüfen, ob eine Seite vom Heartbleed Fehler betroffen ist.

Viele Betreiber haben die Lücke nun mittlerweile geschlossen. Der Fehler steckte aber bereits seit zwei Jahren in der Software. Und spätestens mit dem Hinweis der Entwickler dürften Angreifer darauf aufmerksam geworden sein. Dass sensible Daten gehackt wurden kann man also nicht ausschließen.

PS: Die Entwickler des TOR-Projektes zum anonymen Surfen raten sogar ganz von der Benutzung des Internets in den nächsten Tagen ab:
If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.