Super-Gau im Netz

"Heartbleed": Die wichtigsten Fragen und Antworten

Heartbleed, OpenSSL
+
Auf einer Testseite können Internetnutzer prüfen, ob die von ihnen benutzen Seiten von der "Heartbleed"-Sicherheitsücke betroffen sind.

Berlin - Auch Internetverbindungen mit "https" sind nicht sicher: Durch eine Lücke im Verschlüsselungsdienst OpenSSL können Hacker private Daten "ausbluten" lassen. Experten sind besorgt.

Auch wer das Kürzel "SSL" noch nie gehört hat, sollte jetzt aufmerken: Denn die Software OpenSSL, mit der Nutzer ihre Daten im Internet sicher verschlüsseln können, ist derzeit nicht mehr zuverlässig. Eine massive Sicherheitslücke erlaubt Hackern, die Verschlüsselung auszuhebeln und private Daten aus der Verbindung heraustropfen zu lassen. Auch Experten sind über den Software-Gau besorgt - offenbar blieb der Fehler im System zwei Jahre lang unentdeckt. Die wichtigsten Fragen und Antworten im Überblick.

Wer ist davon betroffen?

Die Lücke klafft in einer Software namens OpenSSL, einem der Baukästen für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. Auch das macht die Schwachstelle so gravierend. Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL. Sicherheitsexperte Bruce Schneier spricht von einem „katastrophalen Fehler“.

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat", Herzschlag.

Wie gefährlich ist die OpenSSL-Sicherheitslücke?

Die OpenSSL-Sicherheitslücke ermögliche es Angreifern, weltweit Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen, teilte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT am Dienstag mit. "Das Problem ist, dass ein Angreifer beliebige Information auslesen kann", sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. "Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle."

Wie nutzen Hacker den OpenSSL-Schwachpunkt aus?

Doch Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler "Heartbleed", weil er Informationen "ausblutet".

Im letztgenannten Fall (Diebstahl der verwendeten Schlüssel) könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte Fox-IT.

Wie kann "Heartbleed" gestoppt werden?

Zunächst einmal sind die Betreiber von Webservern gefragt. Wenn sie die betroffene OpenSSL-Version benutzten, müssen sie zügig auf die jüngste Version umsteigen. Damit wird die Lücke erst einmal geschlossen. Das Problem ist: Der Fehler versteckte sich bereits zwei Jahre in der OpenSSL-Software, bis er auffiel. Angreifer könnten also bereits Passwörter und Verschlüsselungsinformationen abgefischt haben. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. "Wer auf der sicheren Seite sein möchte, sollte die Schlüssel neu beantragen", sagt HPI-Doktorand Gawrow. Das rät auch das Bundesamt für Sicherheit in der Informationstechnik.

Was kann ich tun, um meine Daten zu schützen?

Sie können erst einmal nur abwarten, dass die Betreiber von Webangeboten die Lücke schließen. Der italienische Programmierer Filippo Valsorda stellte die Seite http://filippo.io/Heartbleed/ ins Netz, auf der man testen kann, ob eine bestimmte Seite betroffen ist. Das Ergebnis ist allerdings nicht immer ganz zuverlässig. Nutzer sollten besonders bei sensiblen Daten überlegen, ihre Passwörter zu ändern. Das macht allerdings erst Sinn, nachdem die Betreiber der jeweiligen Webseiten den OpenSSL-Fehler behoben haben. Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet Nutzern, für die anonymes Surfen besonders wichtig ist, sich "die nächsten Tage komplett vom Internet fernzuhalten". Sie sollten abwarten, bis das OpenSSL-Update weite Verbreitung gefunden habe und die Schlüssel und dazu gehörigen Zertifikate ausgetauscht worden seien.

dpa/AFP

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken, um Missbrauch zu vermeiden.

Die Redaktion

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert. Nutzer, die diesen Dienst nicht verwenden, können sich hier über das alte HNA-Login anmelden.

Hinweise zum Kommentieren: Auf HNA.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.

Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.