So vermeiden Sie, dass Angreifer Ihre Daten abfangen

Ergreifen Sie jetzt Sofortmaßnahmen, damit Datendiebe Ihre verschlüsselte Internet-Kommunikation künftig nicht mehr ausspionieren können. Sichern Sie Ihre Online-Konten ab und aktualisieren Sie alle Netzwerkgeräte.

Kurze Antwort: Ja, eigentlich schon. Lange Antwort: Vom Heartbleed Bug sind laut Netcraft rund 500.000 Websites und Online-Dienste betroffen. Sobald die OpenSSL-Lücke geschlossen ist, dürften viele Webangebote - ähnlich wie es Minecraft-Entwickler Mojang bereits tat oder Web.de angekündigt hat - ihre Kunden zur Änderung ihrer Kennwörter aufrufen.

Microsoft, AOL, PayPal, Linkedin, Apple und Amazon sollen laut eigenen Angaben nicht von der OpenSSL-Sicherheitslücke betroffen sein. Google glaubt, man habe den Fehler so früh gefixt, dass man die Passwörter nicht ändern müsste. Weitere Informationen liefert die Webseite Mashable, die Stellungnahmen großer Internet-Anbieter zum Heartbleed Bug sammelt. Demnach sollten Sie bei Dropbox, eBay, Facebook, Soundcloud, Tumblr und Yahoo auf jeden Fall Ihr Passwort ändern.

Achtung: Die Änderung eines Passworts ist selbstverständlich erst dann sinnvoll, wenn der betroffene Online-Dienst die Sicherheitslücke geschlossen hat. Anderenfalls könnten Angreifer auch Ihr neues Passwort abgreifen. Im Zweifelsfall bietet es sich dehalb an, die Online-Dienste vorab mit den Heartbleed Tests von Possible.lv und Filippo.io zu überprüfen.

Die OpenSSL-Sicherheitslücke reicht bis ins Wohnzimmer, denn im Heimnetz nutzen beispielsweise auch Router, NAS-Server und andere Netzwerkgeräte die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen. Entwarnung gab bislang nur AVM: Die Fritzbox-Router und auch die Fritz WLAN Repeater verwenden OpenSSL 0.9.8 und diese Version ist von der Sicherheitslücke nicht betroffen.

Synology hat die Sicherheitslücke in seinen NAS-Systemen zwar mit einem schnellen Update des Disk Station Managers 5.0 geschlossen, doch einige NAS-Modelle scheint der Bugfix lahmzulegen. Und: Auch auf internetfähigen Smart-TVs ist die verschlüsselte Kommunikation oft gefährdet.

Anwender sollten an diesen Geräten vorerst auf verschlüsselte Internet-Verbindungen verzichten. D-Link rät seinen Router-Kunden beispielsweise, bis zur weiteren Klärung des Sachverhalts die Fernwartungsoptionen ihrer Geräte zu deaktivieren.

Tipp: Besuchen Sie regelmäßig die Herstellerseiten und prüfen Sie, ob bereits Sicherheitshinweise zum Heartbleed Bug vorliegen oder gar Firmware-Updates bereitgestellt wurden. Sollte letzteres der Fall sein, dann sollten Sie die Updates umgehend installieren.

In Android OS ist OpenSSL zwar integriert, allerdings wurde es bereits Mitte 2012 deaktiviert. Laut Google sind deshalb nur wenige Android-Smartphones und Tablets von dem OpenSSL-Fehler betroffen. In der Regel sollte der Heartbleed Bug nur in der Android Version 4.1.1 auftreten.

Android-Nutzer, die sicher gehen wollen, dass das eigene Gerät nicht vom Heartbleed Bug betroffen ist, bietet die App Heartbleed Detector eine Möglichkeit zur Überprüfung. Die Anwendung ermittelt die auf Android-Geräten installierte OpenSSL-Version und zeigt, ob der Heartbleed Bug auch Ihr Smartphone oder Tablet betrifft.

Apple verzichtet bei seinem mobilen Betriebssystem iOS sowie bei seinem Online-Dienste iCloud auf OpenSSL. Das iPhone und das iPad sind folglich nicht von der Heartbleed-Schwachstelle betroffen.

Achtung: Auch wenn die beiden mobilen Betriebssysteme iOS und Android meist nicht direkt vom Heartbleed Bug betroffen sind, könnten installierte Apps von dem schwerwiegenden Fehler betroffen sein. Sie sollten deshalb weitere Heartbleed-Informationen zu allen von Ihnen verwendeten Apps einholen, die OpenSSL verwenden.