Wählen Sie Ihre Nachrichten​

Heartbleed: Ein Bug auf Abwegen im Internet
Lokales 4 Min. 14.04.2014 Aus unserem online-Archiv

Heartbleed: Ein Bug auf Abwegen im Internet

Heartbleed: Ein Bug auf Abwegen im Internet

Lokales 4 Min. 14.04.2014 Aus unserem online-Archiv

Heartbleed: Ein Bug auf Abwegen im Internet

Seit einigen Tagen taucht quer durch die Medien immer wieder ein Begriff auf: Heartbleed. Aber worum handelt es sich dabei eigentlich genau? Und wie kann man sich schützen?

(sb) - Heartbleed gilt als die größte Sicherheitslücke in der Geschichte des Internets. Vor kurzem wurde bekannt, dass der Heartbleed-Bug einen Fehler im OpenSSL-System darstellt. "Bei SSL handelt es sich um ein Protokoll, das die Daten und Informationen von Nutzern schützen soll. Wenn sich also ein Benutzer durch seinen Browser mit einem Server verbindet, stellt SSL sicher, dass es sich bei dem Server auf der anderen Seite auch tatsächlich um den Server handelt, der er vorgibt zu sein", erklärt Jean-Christophe Denis, Co-Leiter der IT-Abteilung beim Luxemburger Wort. Vereinfacht gesagt bedeutet dies, dass ein Bankkunde beim Online-Banking beispielsweise die Gewissheit hat, dass er auch wirklich mit dem Server der Bank verbunden ist. Des Weiteren sorgt SSL dafür, dass kein Dritter mitlesen kann, sodass jegliche Transaktionen und Passwörter geschützt bleiben. Durch SSL soll demnach eine sichere Verbindung garantiert werden.

Um diese Sicherheit gewährleisten zu können arbeitet SSL mit einer sogenannten "Public-Key-Encryption". Hierbei werden zwei Schlüssel verwendet: ein öffentlicher und ein privater, wobei der private selbstverständlich auch privat bzw. geheim gehalten werden soll. Andernfalls besteht die Möglichkeit, dass eine dritte Person sich z.B. für die Bank ausgibt und alle übermittelten Daten - also auch Passwörter - abfängt und speichert.

Sicherheitsprüfung online durchführen

Seit dem 7. April ist jetzt bekannt, dass OpenSSL bereits seit dem 14. April 2012 den Bug Heartbleed enthält. Dieser Softwarefehler macht alle Sicherheitsgarantien, die eigentlich durch SSL gegeben sein sollen, hinfällig. "Erschwerend hinzu kommt, dass kaum Spuren hinterlassen werden, sollte ein Account gehackt werden", führt Denis weiterhin aus. Was genau bedeutet das jetzt? Da viele Webseiten und Internetplattformen mit OpenSSL arbeiten, muss davon ausgegangen werden, dass es zu einer Vielzahl von Angriffen gekommen ist. Dies kann für sowoh Nutzerdaten, private Schlüssel, Passwörter als auch andere Zugangsdaten gelten. Unter anderem waren Tumblr, Yahoo, Youtube, Google, Whatsapp, Dropbox und andere VPN-Dienste betroffen. Andere Dienste wie etwa Amazon, Paypal und Microsoft haben hingegen bereits Entwarnung gegeben: nach eigenenen Angaben sollen diese Dienste nicht von Heartbleed betroffen gewesen sein. "Im Grunde ist es recht einfach herauszufinden, ob eine Seite gefährdet ist oder nicht - dafür gibt es extra Tools, die man sich runterladen kann um die Sicherheit einer Webseite zu überprüfen. Aber man kann das auch online machen unter http://filippo.io/Heartbleed/", erklärt Gerard Wagener vom Computer Incident Response Center Luxembourg (Circl).

"Trotzdem sollte man die eigenen Passwörter vorsichtshalber ändern", mahnt Jean-Christophe Denis, "vor allem, wenn man überall das gleiche verwendet. Das ist ohnehin sehr fahrlässig." Zu offensichtliche Passwörter, oder immer dasselbe zu benutzen sei daher so gefährlich, da nur ein Account gehackt werden müsse und der Hacker hätte augenblicklich ebenfalls Zugang zu allen anderen Accounts einer Person. Gerard Wagener stimmt dem zu, weist allerdings ebenfalls daraufhin, dass es nichts bringt ein Passwort zu ändern, wenn noch kein Patch installiert worden sei: "Solange eine Webseite nicht gefixed worden ist, macht es keinen Sinn ein Passwort zu ändern, da die Gefahr besteht, dass die Kommunikation zwischen dem Benutzer und dem OpenSSL-Server immer noch mitgelesen wird. Stattdessen sollte man unsichere Seiten lieber komplett meiden und die zuständigen Webmaster darum bitten einen Patch zu installieren."

Die Sache mit den sicheren Passwörtern

Wagener empfiehlt an erster Stelle das Passwort für den Mailaccount zu ändern. Sobald man sich irgendwo registriere erhalte man in der Regel ja eine Bestätigungsmail mit dem Benutzernamen und dem Passwort. Dasselbe gelte, wann man z.B. sein Passwort vergesse und es sich per Mail nochmal zuschicken lasse. Aus diesem Grund habe die Sicherheit des Mailaccounts oberste Priorität. Außerdem sei es extrem wichtig ein starkes Passwort zu haben: der Name vom ersten Haustier oder der eigene Geburtstag sind also eher ungeeignet. Am besten sind die Passwörter, die man sich selbst nicht merken kann: Groß- UND Kleinschreibung, Zahlen und nicht zu wenig Zeichen und ganz ganz besonders meiden sollte man Passwörter, die sich auf irgendwelche Listen finden lassen (z.B. "most common passwords").

Passwort-Managern steht Gerard Wagener eher kritisch hingegen. Diese Manager erlauben es die Passwörter jeglicher Accounts (Twitter, Foren, Mail usw.) in einer verschlüsselten Datenbank zu speichern. Der Zugriff zu dieser Datenbank erfordert ein Masterpasswort: man muss sich also lediglich nur noch ein einziges Passwort merken. "Wenn man so einen Manager benutzt muss man ja auch 100 prozentiges Vertrauen in diese externe Firma stecken, da sie ja die Passwörter verwaltet. Es ist sicherer das selbst zu machen. Immerhin kann man sich ganz leicht selbst eine Liste mit den eigenen Passwörtern erstellen", gibt Wagener zu bedenken.

Weitere Informationen zu diesem Thema unter: http://www.circl.lu/pub/tr-21/