Sicherheitsexperten warnen vor einem fatalen Fehler in der weit verbreiteten Verschlüsselungssoftware OpenSSL. Eine Lücke ermögliche es Angreifern, weltweit Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen. Das Problem könnte die bisher schwerste Sicherheitspanne im Internet überhaupt sein. Die «Welt» beantwortet die wichtigsten Fragen für Nutzer.

Was genau ist «Heartbleed»?

Heartbleed ist ein Fehler in einer Version von SSL – dem Standard, der bei verschlüsselten Verbindungen – erkennbar am «https« in der Browser-Adresszeile – verwendet wird. Er dient dazu, die Verbindung zwischen Internetnutzer auf der einen und dem Server auf der anderen Seite zu verschlüsseln, und so für Dritte, die den Datenstrom auf dem Transportweg mitschneiden könnten, unleserlich zu machen.

Was sind die konkreten Gefahren?

Doch Heartbleed erlaubt es Angreifern, dem Server die Schlüssel für die Verbindung zu klauen – sie können nun den Datenstrom entschlüsseln. Das ist fatal, da Hacker jede Form von SSL-gesicherter Kommunikation potenziell knacken können, etwa Passwörter für Mailkonten erlangen oder bei gesicherten Chatverbindungen mitlesen können. Das SSL-Protokoll wird praktisch überall eingesetzt – nicht nur PCs, auch Smart-TVs, Smartphones oder Router nutzen es für jede Form von abgesicherter Kommunikation.

Anzeige

Wer kann etwas dagegen unternehmen?

Die Lücke schliessen können nur die Server-Administratoren selbst, indem sie zum einen bereits verfügbare Sicherheitsupdates für OpenSSL installieren, zum anderen ihre Schlüsselzertifikate austauschen – das kann einige Tage dauern. Da man im Nachhinein nicht genau feststellen kann, ob ein Angreifer die Lücke bereits genutzt hat, müssen alle betroffenen Server davon ausgehen, dass ihre Schlüssel geklaut wurden. Entsprechende Angriffswerkzeuge zum Ausnutzen der Lücke kursieren bereits im Netz.

Kann man als Nutzer selbst gar nichts machen?

Nutzer selbst können nicht erforschen, ob und inwieweit ihre Daten betroffen sind – im Zweifelsfalle müssen die Seitenbetreiber nun verstärkt darauf achten, ob ihre Kundenkonten missbraucht werden, und ihre Nutzer zum Passwortwechsel auffordern. Doch Vorsicht: Wer nun sofort sein Passwort ändert, könnte Hackern, die die Schlüssel zum Mitlauschen einer Verbindung bereits gestohlen haben, in die Hände spielen. Ein paar Tage Abstinenz und Geduld bringen mehr Sicherheit. Die Nutzer müssen abwarten, bis die Administratoren die Lücke geschlossen und ihre Schlüssel getauscht haben.

Kann man sehen, welche Seiten betroffen sind?

Ob eine SSL-verschlüsselte Seite betroffen ist oder war, können Nutzer zum einen auf einer Liste einsehen, zum anderen hier testen. Fraglich ist jedoch, ob die Liste komplett ist, auch der Test kann falsch negativ anzeigen. Daher raten Sicherheitsforscher bereits, sich vorerst von betroffenen Seiten fernzuhalten.

Ist auch das Onlinebanking von der Lücke betroffen?

Das ist bislang noch unklar. In der Schweiz ist eine guter Teil der Banken betroffen, berichtet «Blick.ch». Am Mittwochmittag waren etwa noch bluewin.ch und credit-suisse.com als verletzlich eingestuft. Gegen Abend wurden beide Anbieter als scheinbar sicher eingestuft. Ihnen stand eine korrigierte Version von OpenSSL zur Verfügung. Laut «Blick.ch»  waren in einigen Kantonen war gestern noch der Datenverkehr zwischen den Steuerämtern und den Steuerpflichtigen ungesichert. Der Bund empfiehlt, auch am Donnerstag noch auf E-Banking zu verzichten. 

Anzeige

Dieser Artikel ist zuerst in unserer Schwester-Publikation «Die Welt» erschienen.