Werbung

Artikel

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?
Jakob Straub

Jakob Straub

  • Aktualisiert:

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM

Jakob Straub

Jakob Straub

Das Neueste von Jakob Straub

Editorialrichtlinien