Heartbleed ist ein verheerender Bug, von dem tausende Seiten und Dienste im ganzen Netz betroffen sind. Doch worum handelt es sich genau und was muss man tun, um sich vor Cyberkriminellen zu schützen?
Sicherheitsexperten zufolge hat Heartbleed die Sicherheit von rund einer halben Millionen Webseiten beeinträchtigt. "Katastrophal ist der richtige Ausdruck“, meint etwa der unabhängige Sicherheitsexperte Bruce Schneider. „Auf einer Skala von eins bis zehn haben wir es hier mit einer elf zu tun.“
Heartbleed hat die Medien weltweit in Aufruhr versetzt. Allerdings machen auch jede Menge Fehlinformationen die Runde. Im Folgenden deshalb alles wirklich Wichtige:
Was ist Heartbleed eigentlich genau?
Heartbleed ist der Spitzname eines Bestandteiles einer Sicherheitssoftware, die von so gut wie jeder sicheren Webseite im Internet verwendet wird.
Genauer gesagt handelt es sich um einen Fehler in einem Software-Paket namens OpenSSL, das von Banken, Online-Händlern, E-Mailprovidern und einer Vielzahl anderer Dienste im Netz benutzt wird, um Verbindungen zwischen dem Nutzer und dem Dienst zu sichern.
Web-Server, die SSL verwenden, senden einen Verschlüsselungs-Key an den Besucher. Mit diesem werden dann alle anderen Informationen geschützt, die an den Server übertragen oder von diesem abgeschickt werden.
Erkennen lassen sich so gesicherte Verbindung an einem kleinen, stilisierten Vorhängeschloss, das in der oberen linken Ecke des Webbrowsers erscheint.
Was macht Heartbleed?
SSL ist von großer Bedeutung, um etwa beim Onlineshopping oder -banking Schutz vor Datenklau zu erreichen. Außerdem schützt es User vor sogenannten Man-in-the-middle- oder Mittelsmannangriffen, bei denen Dritte Daten während der Übermittlung abfangen um an vertrauliche Informationen zu gelangen.
Heartbleed ermöglicht Übeltätern, Daten mitzulesen, die auf vermeintlich sicherem Weg im Netz verschickt werden. Das bedeutet, dass Usernamen, Passwörter und andere vertrauliche Daten von Cyberkriminellen mitgelesen werden können. Angeblich hat auch die NSA Heartbleed genutzt, um im Rahmen des Onlineüberwachungsprogramms Prism sichere Daten mitlesen zu können.
Wie lang geht das schon so?
Die Sicherheitslücke entstand im März 2012 und besteht somit seit zwei Jahren.
Obwohl sie erst jetzt bekannt wurde, konnten Kriminelle und die NSA sie sich von Beginn an für ihre Zwecke zunutze machen. Ob damit aktiv Datendiebstahl durch Kriminelle betrieben wurde, weiß man allerdings nicht.
Bin ich betroffen?
Hunderttausende Seiten und Dienste nutzen SSL. Ein Großteil von ihnen wird von Heartbleed betroffen sein.
Die Chance ist hoch, dass mindestens einer der Dienste, die Sie nutzen, betroffen ist– allerdings in unterschiedlichem Ausmaß. Die Nutzerdaten des Password-Managers LastPass etwa lagen trotz Heartbleed nie offen, weil sie durch weitere Verschlüsselungen geschützt waren.
Letzthin ist es derzeit möglich, dass bei einer Unzahl täglich genutzter Dienste Daten abgefangen und gestohlen werden können.
Was nun?
Der Heartbleed-Bug lässt sich recht einfach beseitigen. Allerdings müssen alle betroffenen Seiten und Dienste ein Update ihrer Software und ihrer Sicherheitszertifikate durchführen.
Einige – Google, Yahoo und die meisten Banken zum Beispiel – haben dies bereits getan. Bei anderen wird es länger dauern.
Was sollte ich tun?
Für den Großteil der User besteht nur dann ein Risiko, wenn sie betroffene Seiten und Dienste nutzen. Derzeit raten Sicherheitsexperten, Internetkonten, Onlineshops und andere Seiten, die Angaben über Kreditkartendetails oder andere persönliche Daten enthalten, erst wieder zu benutzen, wenn sie die Sicherheitslücke geschlossen haben.
Im Internet gibt es einige Werkzeuge, anhand derer sich prüfen lässt, ob Seiten noch durch Heartbleed gefährdet sind.
Muss ich unverzüglich alle meine Passwörter ändern?
In vielen Medien wurde reflexhaft empfohlen, sofort alle Passwörter zu ändern. Dieser Rat ist falsch.
Es ist durchaus ratsam, alle Passwörter zu ändern. Allerdings erst, wenn die entsprechenden Seiten den Fehler behoben haben. Dies gilt vor allem, wenn ein und dasselbe Passwort auf mehreren Seiten benutzt wurde. Eine sofortige Änderung würde nur bewirken, dass auch das neue Passwort gestohlen werden könnte. Sobald eine Seite das Problem beseitigt hat, sollte man aber unbedingt ein neues Passwort einrichten. Ein
Wird alles gut, wenn ich die Sache einfach ignoriere?
Heartbleed ist eine der gravierendsten Sicherheitslücken in der Geschichte des Open Internet. Panikreaktionen haben die Sache aber nur verschlimmert.
Alle Seiten und Dienste, die täglich von ihren Nutzern benutzt werden, werden den Fehler beheben, wenn sie es nicht bereits getan haben. Dann sind die Nutzerkonten nach einer Passwortänderung wieder sicher.
Dennoch ist in den kommenden Wochen und Monaten angeraten, wichtige Konten – etwa bei Shopping- oder Bankingseiten - daraufhin zu beobachten, ob die eigenen Daten gestohlen wurden, als der Bug noch unerkannt sein Unwesen trieb.
Was ist Ihre Meinung?
Kommentare einblendenDiskutieren Sie mit.