Am Montag wurde bekannt, dass die Verschlüsselungssoftware OpenSSL seit März 2012 einen Fehler enthält, der Angreifern das Abrufen vertraulicher Daten ermöglicht. Hier erfahren Sie, was Sie nun unternehmen müssen.
Was ist «Heartbleed» und was macht es?
«Heartbleed» ist eine Sicherheitslücke in der weltweit verbreiteten Sicherheitssoftware OpenSSL.
Der Code von Open-Source-Programmen ist frei verfügbar, so dass alle interessierten Entwickler ihn laufend weiterentwickeln können. Das ist auch der Grund, weshalb das Verschlüsselungsprogramm so häufig verwendet wird: Die Software ist kostenlos. Ausserdem werden durch die ständige Weiterentwicklung Fehler normalerweise sehr schnell gefunden, was einen hohen Sicherheitsstandard gewährleistet. Der nun entdeckte Fehler ermöglicht Angreifern, den Arbeitsspeicher der betreffenden Server auszulesen und betrifft die Anmeldungsdaten zahlreicher Websites.
Der Fehler wurde erst jetzt gefunden, obwohl die Sicherheitslücke seit der Version 1.0.1. aus dem März 2012 besteht. Der Grund mag sein, dass der Fehler sich in der selten genutzten «Heartbeat» (daher auch der Name «Heartbleed»)-Erweiterung des Programms findet, die sichere Verbindungen vereinfachen soll. Die Sicherheitslücke betrifft nicht nur die internen Anmeldedaten von Servern, die von Webdiensten benutzt werden, sondern auch private Sicherheitszertifikate, die auf diesen Servern lagern. Daher lautet die Antwort auf die Frage:
Muss ich meine Passwörter ändern?
Unbedingt!
Nahezu alle Websites, auf denen man sich anmelden muss, können betroffen sein. Das sind also nicht nur Anbieter wie Krankenkassen oder Banken, die ein verschlüsseltes Login benutzen, sondern auch Programme wie Apps auf Mobilgeräten, Cloud-Dienste, Netzwerkzugänge über VPN oder auch manche Browser wie Opera.
Der Social-Media-Nachrichtendienst Mashable hat eine Liste betroffener Anbieter veröffentlicht. Unabhängig davon, welchen Status die verschiedenen Anbieter laut Liste haben, ist es auf jeden Fall besser, die Passwörter zu aktualisieren, insbesondere was die Anmeldetaten bei Banken und Webshops angeht.
Manche Websites haben die Sicherheitseinstellungen inzwischen zwar aktualisiert, Ihre Daten könnten aber schon vorher abgeschöpft worden sein. Da die Angriffe auf die Server nicht aufgezeichnet werden, kann man nicht nachvollziehen, wo schon Daten gestohlen worden sind.
Die Melde- und Analysestelle Informationssicherheit (Melani) in Bern warnte vor der Übermittlung sensibler Daten per Internet (wie beim Online Banking oder bei Kreditkartendaten) in den nächsten 48 Stunden.
Woher weiss ich, ob mein Computer betroffen ist?
Die eigenen Server kann man mittels der in einem Artikel von «Golem» verlinkten Tests prüfen. Windows-Rechner haben eine eigene SSL-Bibliothek, und Apple-Systeme benutzen eine ältere Version von OpenSSL. Linux- und BSD-Anwender sollten sich dringend um Updates bemühen, da die Betriebssysteme OpenSSL benutzen. Grundsätzlich gilt: Alle wichtigen Anwendungen auf dem Computer sowie auf Mobilgeräten sollte man unbedingt aktualisieren, da wie bereits angemerkt, auch einzelne Programme betroffen sein können.
Muss ich jetzt meinen Rechner und/oder mein Handy verschrotten?
Nein, da können wir Sie beruhigen. Aber wie gesagt, Ihre Passwörter und häufig benutzten Programme sollten Sie aktualisieren.
Wer noch tiefer in die Materie eintauchen will, kann dies auf der Dokumentationsseite für den Bug tun.
OpenSSL wird auch von unserem Software-Partner Sourcefabric und unserem Server-Provider VTX eingesetzt. Wie Sourcefabric und VTX mitteilen, wurde die Sicherheitslücke auf ihren Servern umgehend gestopft, Hinweise auf verdächtige Aktivitäten gebe es nicht, die Wahrscheinlichkeit, dass Passwörter gestohlen wurden, ist sehr gering. Gemäss der Losung «Better safe than sorry» empfehlen wir allen Community-Mitgliedern, ihre Passwörter zu ändern.