Die Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine Vielzahl von Diensten im Internet. Auch Google musste wichtige Dienste wie GMail und YouTube aktualisieren. Nutzern wird zu einem Passwort-Wechsel auf breiter Front geraten.
Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. Grosse Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen. Denn die „Heartbleed“ (Blutendes Herz) genannte Sicherheitslücke klafft in der weit verbreiteten Verschlüsselungs-Software OpenSSL.
Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes steht in Kontakt mit Telekommunikationsfirmen, Finanzinstituten und weiteren Unternehmen, welche kritische Infrastrukturen betreiben. Viele Firmen hätten ihre Systeme bereits mit den verfügbaren Sicherheitsfixes versehen oder seien dabei, dies zu tun, erklärte die Behörde.
Eine Übersicht müssen sich die Nutzer selbst verschaffen. Diverse Testseiten für die Prüfung fraglicher Internetadressen wurden aufgeschaltet. Viele Firmen informieren nur zurückhaltend über das Problem. Missbräuche wurden bislang nicht bekannt.
Google teilte mit, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen mit.
Immenses Problem
SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls.
Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.
Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des Internetriesen Yahoo. Andere grosse Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.
„Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein“, sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem „Wall Street Journal“. Der bekannte Internet-Sicherheitsexperte Bruce Schneier schrieb: „Auf einer Skala von 1 bis 10 ist es eine 11.“
Schwachstelle am „Herzschlag“
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmässig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heisst die Funktion „Heartbeat“, Herzschlag. Die Schwachstelle wurde deswegen „Heartbleed“ genannt.
Kriminelle können so nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update beheben.
Der Plan sei eigentlich gewesen, die Schwachstelle ohne grosses Aufsehen im Hintergrund dichtzumachen, schrieb das „Wall Street Journal“ unter Berufung auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.