Digital
Gesellschaft & Politik

Das musst du über den Internet-Supergau Heartbleed wissen

Das musst du über den Internet-Supergau Heartbleed wissen

Die Lücke bei der Verschlüsselungs-Software OpenSSL, die seit Montag weltweit für Schlagzeilen sorgt, entpuppt sich als die bisher schlimmste Sicherheitslücke im Netz.Bild: SHUTTERSTOCK
10.04.2014, 14:4213.07.2022, 08:07
Computerleck Heartbleed
Viktoria weber, sven zaugg, ole reissmann
Mehr «Digital»

Das Herz des Internets blutet. Die Lücke bei der Verschlüsselungs-Software OpenSSL, die seit Montag weltweit für Schlagzeilen sorgt, entpuppt sich als die bisher schlimmste Sicherheitslücke im Netz. Banken, Steuerbehörden, Soziale Netzwerke, Internet-Provider, Online-Shops – sie alle sind vom Computerleck betroffen. Heartbleed, so heisst die Lücke in der Software OpenSSL, erlaubt es Kriminellen, an Daten von Millionen von Usern zu gelangen. Die Community ist verunsichert, häppchenweise tauchen Tipps auf, wie man sensible Daten schützen kann. watson hat die wichtigsten Fakten zusammengetragen:

Was ist Heartbleed?

Heartbleed ist eine gravierende Sicherheitslücke, die laut Experten zwei Drittel des Internets betreffen könnte. Es geht um Webserver, die eigentlich eine gesicherte SSL-Verbindung anbieten, das erkennt man an dem «https» links oben in der Adresszeile. Solche Verbindungen werden immer dann eingesetzt, wenn sensible Informationen übermittelt werden, etwa das Passwort zum E-Mail-Account oder die Kreditkartendaten beim Online-Einkauf.

Im Falle eines Angriffs könnten die Server dazu gebracht werden, Passwörter, Kreditkartendaten und andere Daten wie Sicherheitszertifikate dem Hacker zu verraten. Der Fehler steckt in der weit verbreiteten Verschlüsselungsfunktion OpenSSL und wurde erst jetzt behoben. Mehr als zwei Jahre blieb der Fehler offenbar unentdeckt.

Was sagt der IT-Experte?

«Ich selbst habe schon lange nicht mehr so viel Hektik gesehen, als eine Schwachstelle publik wurde», sagt Sicherheitsexperte Marc Ruef vom IT-Beratungsunternehmen Scip im Gespräch mit watson. «Benutzer von betroffenen Diensten haben keine grossen Möglichkeiten, sich zu schützen. Sie müssen darauf vertrauen, dass die Betreiber Massnahmen ergreifen.» Für sicherheitskritische Dienste wie Online-Banking sei die Sicherheitslücke verheerend, so Ruef.

Ob es zuvor bereits Angriffe gab, über die Login-Daten erbeutet wurden, ist bisher nicht bekannt. Die Entdecker warnen aber, dass ein Angriff vergleichsweise einfach zu bewerkstelligen sei.

Wer ist betroffen?

Banken, Steuerbehörden, Soziale Netzwerke, Internet-Provider und deren Nutzer. Filippo Valsorda hat eine Seite aufgesetzt, auf der besorgte Nutzer und Betreiber von Webseiten einen Test durchführen können. Auf dieser Seite hier können die SSL-Zertifikate einer Website überprüft werden. Wer ganz sicher sein will, sollte nur Seiten mit Zertifikaten vertrauen, die nach der Entdeckung der Sicherheitslücke am vergangenen Montag ausgestellt wurden.

Was muss ich tun?

Den Fehler müssen die Betreiber beheben, nicht Sie. Auch um neue Zertifikate für ihre SSL-Verschlüsselung sollten sich die Betreiber kümmern. Aber alle übertragenen Daten der vergangenen zwei Jahre, die eigentlich mit SSL abgesichert sein sollten, konnten womöglich abgefangen werden. Wer auf Nummer sicher gehen will, sollte lieber seine Passwörter ändern. Dies ist aber erst dann sinnvoll, wenn der Betreiber die Sicherheitslücke geschlossen hat. Tipps zur Passwort-Änderung gibt es hier.

Auf welchen Seiten Sie Ihr Passwort jetzt ändern sollten, haben die Macher von mashable.com versucht aufzuschlüsseln: Demnach sind Amazon, AOL, Microsoft und PayPal nicht von der Sicherheitslücke betroffen. Bei Dropbox, Facebook, Soundcloud, Tumblr, Yahoo und Google-Diensten wie Gmail und YouTube sollten Sie Ihr Passwort jetzt ändern. Twitter und Apple haben sich bisher nicht geäussert.

Max Klaus, Stellvertretender Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani) sieht die grösste Gefahr bei Online-Shops und sozialen Netzwerken: «Entgegen vielleicht der ersten Intuition ist das E-Banking eher weniger gefährdet, da es dort zusätzliche Sicherheitsvorkehrungen gibt. Bei ­Online-Shops oder sozialen Netzwerken sieht das anders aus. Dort ist die Gefahr eines Missbrauchs grösser», äusserte Klaus gegenüber dem Blick.

Welche Banken sind betroffen?

Laut Pressesprecher Diego Wider von der Zürcher Kantonalbank nutzte die ZKB keine gefährdete OpenSSL-Version, sodass ihr Unternehmen nicht von der Sicherheitslücke betroffen war. Auch die UBS blieb verschont.

Anders sieht es bei der Raiffeisen Bank aus: Laut Mediensprecherin Sonja Stieglbauer war das Unternehmen zwar betroffen, konnte die Sicherheitslücke aber binnen 24 Stunden beheben. Konkret bedeutet dies: Die Bank hat die fehlerhafte OpenSSL-Version ersetzt und das Sicherheitszertifikat ausgetauscht. Zu Schadensfällen war es in der Zwischenzeit nicht gekommen.

Betroffen war ausserdem die Credit Suisse: «Wir haben das Problem erkannt und inzwischen gelöst. Online-Banking-Kunden sehen die entsprechenden Informationen, wenn sie sich einloggen. Das Online-Banking kann wie gewohnt genutzt werden», sagt Mediensprecher Thomas Baer gegenüber watson. Ausserdem habe eine Analyse ergeben, dass für Kunden keine Gefahr bestanden habe.

Ebenso Postfinance-Pressesprecher Marc Andrey gibt Entwarnung: Auch hier wurden inzwischen alle Massnahmen durchgeführt, um die Sicherheitslücke zu schliessen.

Was müssen Kunden der betroffenen Banken tun?

Laut Sonja Stieglbauer von Raiffeisen müssen die Kunden nichts unternehmen: «Wir forcieren nicht aktiv, dass die Kunden nun ihr Passwort ändern. Eine gute Passwort-Verwaltung ist ganz grundsätzlich immer wichtig, aber die Sicherheit ist auch so gegeben.» Des Weiteren betont Stieglbauer, dass das Passwort nicht die einzige Sicherheitsmassnahme beim E-Banking sei und die Kunden von daher zu keinem Zeitpunkt gefährdet gewesen seien.

Auch bei der Credit Suisse werden Kunden jetzt nicht aktiv aufgefordert, ihr Passwort zu ändern. «Wir sensibilisieren unsere Kunden regelmässig auf Sicherheitsthemen im Online-Banking – dazu gehört auch das gelegentliche Setzen eines neuen Passworts. Wenn ein Kunde jetzt bei unserer Hotline anruft oder sich an seinen Kundenberater wendet, empfehlen wir schon, das Passwort zu ändern», so Pressesprecher Baer. Bei der Postfinance wird ähnlich vorgegangen: Die Kunden werden nicht aktiv aufgefordert, das Passwort zu ändern.

Wie schlimm ist die Sicherheitslücke wirklich?

Schaut man sich die Reaktionen von Sicherheitsexperten und Administratoren an, ist die Sicherheitslücke eine der bisher schwersten überhaupt. Zur Einordnung: Der Apple-Fehler «goto fail», der im Februar entdeckt worden war, betraf nur Apple-Nutzer. Angreifer mussten sich dazu in eine Verbindung einklinken. Diesmal geht es um bis zu zwei Drittel aller Websites – und Angreifer können Webserver direkt attackieren.

In den Enthüllungen über den US-Geheimdienst NSA, die durch Edward Snowden möglich wurden, gibt es mehrfach Hinweise zum Thema Verschlüsselung. Der Geheimdienst sucht gezielt nach Sicherheitslücken, um verschlüsselte Kommunikation abzufangen, denn das Knacken von guter Verschlüsselung ist offenbar auch für die NSA noch ein Problem. Ein Fehler wie Heartbleed spielt dem Geheimdienst in die Hände. Auch wenn bisher nicht bekannt ist, dass die NSA diese Hintertür genutzt hat – es scheint zumindest möglich.

Was soll der Name?

Die Sicherheitslücke tritt in einer Funktion namens Heartbeat auf. Eigentlich soll sie nur dafür sorgen, dass eine gesicherte Verbindung über eine bestimmte Zeit bestehen bleibt und nicht immer wieder neu initialisiert werden muss. Der Fehler in dieser Funktion sorgt dafür, dass Angreifer vom Webserver Informationen abrufen können, die in dessen Arbeitsspeicher liegen und die niemals für die Öffentlichkeit bestimmt sind. Deshalb haben die Entdecker den Fehler Heartbleed genannt.

Weiterlesen zum Thema Heartbleed
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
0 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Russischer Propagandist verrät Putin-Plan – Moderator bricht Sendung ab
Ausserplanmässige Sendungsunterbrechung im russischen Staatsfernsehen: während einer Talkshow ist es in Russland zum Eklat gekommen.

In einer russischen Propaganda-Talkshow diskutieren die Teilnehmer über die Kriegspläne von Russlands Präsident Wladimir Putin. Doch plötzlich kommt es zu einer ungeplanten Unterbrechung der Sendung.

Zur Story