Der Heartbleed Bug ist die gravierendste Sicherheitslücke in der Geschichte des Internets. com! klärt die wichtigsten Fragen zu dem schwerwiegenden OpenSSL-Fehler.
Mehrere Versionen der OpenSSL-Bibliothek weisen eine äußerst schwerwiegende Sicherheitslücke auf. Der Heartbleed Bug gefährdet die verschlüsselte Kommunikation im Internet und liefert Angreifern private Schlüssel von Serverzertifikaten, Benutzernamen und Passworte.
com! beantwortet die wichtigsten Fragen zu der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritisch eingestuften Schwachstelle und zeigt auf, welche Maßnahmen Internet-Nutzer nun ergreifen sollten.
Was genau ist der Heartbleed Bug?
Der
Heartbleed Bug ist ein Programmierfehler, der im Quelltext der Heartbeat-Erweiterung von TLS steckt. Diese Erweiterung wird zum Austausch von Statusinformationen (Payload) verwendet, die sicherstellen, dass eine verschlüsselte Verbindung bestehen bleibt und nicht immer wieder neu initialisiert werden muss.
Durch einen Programmierfehler bei der Umsetzung der Heartbeat-Funktion überprüft OpenSSL aber nicht die Länge dieser Statusmeldungen. Sendet der Angreifer nun eine sehr kleine Statusmeldung und täuscht dem Server dabei eine größere Statusmeldung vor, dann reserviert OpenSSL zuviel Speicherplatz für diese Statusmeldung. Wird die Statusmeldung erneut ausgelesen und an die Gegenstelle zurückgeschickt, dann kann der Angreifer Daten wie private Schlüssel des Serverzertifikats, Benutzernamen und Passworte erbeuten.
Für Laien mag das kompliziert klingen, doch der Angriff ist trivial einfach. Deshalb ist auch davon auszugehen, dass Datendiebe die Sicherheitslücke spätestens seit ihrem Bekanntwerden ausnutzen.
Warum ist der Heartbleed Bug so gefährlich?
Der Heartbleed Bug kompromittiert gesicherte SSL-Verbindungen im Internet, die gerade die Übertragung sensibler Informationen, etwa Kreditkartendaten beim Online-Einkauf oder Login-Daten beim Online-Banking, absichern sollen. Eine sichere Kommunikation im
Internet wird somit vollständig ausgehebelt.
Zudem verwenden die unterschiedlichsten Internet- und Netzwerk-Dienste die OpenSSL-
Verschlüsselung. Betroffen sind deshalb nicht nur Webserver, sondern auch E-Mail-Server, FTP-Server, VPN-Server oder Router und NAS-Server, die OpenSSL zur Verschlüsselung von Fernzugriffen verwenden.
Welche OpenSSL-Versionen sind betroffen?
Laut den Sicherheitsexperten von Codenomicon, die den Fehler ebenso wie ein Google-Sicherheitsteam entdeckten, sind nicht alle Versionen der OpenSSL-Bibliothek vom Heartbleed Bug betroffen. Die Heartbeat-Erweiterung wurde im Januar 2012 in die OpenSSL-Quelltexte eingepflegt, deshalb sind insbesondere die neueren Versionen der Verschlüsselungssoftware gefährdet:
- OpenSSL Version 1.0.2-beta1 ist gefährdet, aber kaum verbreitet
- OpenSSL Version 1.0.1g (vom 7. April 2014) ist nicht gefährdet. Hier wurde der Heartbleed Bug bereits behoben.
- OpenSSL Version 1.0.1 bis einschließlich 1.0.1f ist gefährdet
- OpenSSL Version 1.0.0 ist nicht gefährdet
- OpenSSL Version 0.9.8 ist nicht gefährdet
Wie prüfe ich, ob eine Webseite vom Heartbleed-Bug betroffen ist?
Inzwischen gibt es mehrere Online-Tools für deratige Tests. Die Heartbleed Tests von
Possible.lv und
Filippo.io zeigen beispielsweise nicht nur Administratoren sondern auch Nutzern sicherheitskritischer Online-Dienste, ob ein Server von der Sicherheitslücke betroffen ist.
Beachten Sie: Mit den Prüf-Tools lässt sich zwar testen, ob eine Website vom Hartbleed Bug betroffen ist. Der Betreiber könnte seine OpenSSL-Installlation inzwischen aber schon gepatcht haben. Ob Ihre Kennwörter in den vergangenen Tagen sicher waren, lässt sich mit derartigen Tests folglich nicht beantworten.
So vermeiden Sie, dass Angreifer Ihre Daten abfangen
Ergreifen Sie jetzt Sofortmaßnahmen, damit Datendiebe Ihre verschlüsselte Internet-Kommunikation künftig nicht mehr ausspionieren können. Sichern Sie Ihre Online-Konten ab und aktualisieren Sie alle Netzwerkgeräte.
Muss ich nun alle meine Passwörter ändern?
Kurze Antwort: Ja, eigentlich schon. Lange Antwort: Vom Heartbleed Bug sind laut
Netcraft rund 500.000 Websites und Online-Dienste betroffen. Sobald die OpenSSL-Lücke geschlossen ist, dürften viele Webangebote - ähnlich wie es
Minecraft-Entwickler Mojang bereits tat oder Web.de angekündigt hat - ihre Kunden zur Änderung ihrer Kennwörter aufrufen.
Microsoft, AOL, PayPal, Linkedin,
Apple und
Amazon sollen laut eigenen Angaben nicht von der OpenSSL-Sicherheitslücke betroffen sein. Google glaubt, man habe den Fehler so früh gefixt, dass man die Passwörter nicht ändern müsste. Weitere Informationen liefert die Webseite
Mashable, die Stellungnahmen großer Internet-Anbieter zum Heartbleed Bug sammelt. Demnach sollten Sie bei Dropbox, eBay,
Facebook, Soundcloud, Tumblr und Yahoo auf jeden Fall Ihr Passwort ändern.
Achtung: Die Änderung eines Passworts ist selbstverständlich erst dann sinnvoll, wenn der betroffene Online-Dienst die Sicherheitslücke geschlossen hat. Anderenfalls könnten Angreifer auch Ihr neues Passwort abgreifen. Im Zweifelsfall bietet es sich dehalb an, die Online-Dienste vorab mit den Heartbleed Tests von
Possible.lv und
Filippo.io zu überprüfen.
Ist mein Heimnetz vom Heartbleed Bug betroffen?
Die OpenSSL-Sicherheitslücke reicht bis ins Wohnzimmer, denn im Heimnetz nutzen beispielsweise auch Router,
NAS-Server und andere Netzwerkgeräte die OpenSSL-Bibliothek zur Verschlüsselung von Internetverbindungen. Entwarnung gab bislang nur AVM: Die Fritzbox-Router und auch die Fritz WLAN Repeater verwenden OpenSSL 0.9.8 und diese Version ist von der Sicherheitslücke nicht betroffen.
Synology hat die Sicherheitslücke in seinen NAS-Systemen zwar mit einem schnellen
Update des Disk Station Managers 5.0 geschlossen, doch einige NAS-Modelle scheint der Bugfix lahmzulegen. Und: Auch auf internetfähigen
Smart-TVs ist die verschlüsselte Kommunikation oft gefährdet.
Anwender sollten an diesen Geräten vorerst auf verschlüsselte Internet-Verbindungen verzichten.
D-Link rät seinen Router-Kunden beispielsweise, bis zur weiteren Klärung des Sachverhalts die Fernwartungsoptionen ihrer Geräte zu deaktivieren.
Tipp: Besuchen Sie regelmäßig die Herstellerseiten und prüfen Sie, ob bereits Sicherheitshinweise zum Heartbleed Bug vorliegen oder gar Firmware-Updates bereitgestellt wurden. Sollte letzteres der Fall sein, dann sollten Sie die Updates umgehend installieren.
Was ist mit Smartphones & Tablets?
In Android OS ist OpenSSL zwar integriert, allerdings wurde es bereits Mitte 2012 deaktiviert. Laut Google sind deshalb nur wenige Android-Smartphones und Tablets von dem OpenSSL-Fehler betroffen. In der Regel sollte der Heartbleed Bug nur in der Android Version 4.1.1 auftreten.
Android-Nutzer, die sicher gehen wollen, dass das eigene Gerät nicht vom Heartbleed Bug betroffen ist, bietet die App
Heartbleed Detector eine Möglichkeit zur Überprüfung. Die Anwendung ermittelt die auf Android-Geräten installierte OpenSSL-Version und zeigt, ob der Heartbleed Bug auch Ihr Smartphone oder Tablet betrifft.
Apple verzichtet bei seinem mobilen Betriebssystem iOS sowie bei seinem Online-Dienste iCloud auf OpenSSL. Das iPhone und das iPad sind folglich nicht von der Heartbleed-Schwachstelle betroffen.
Achtung: Auch wenn die beiden mobilen Betriebssysteme iOS und Android meist nicht direkt vom Heartbleed Bug betroffen sind, könnten installierte Apps von dem schwerwiegenden Fehler betroffen sein. Sie sollten deshalb weitere Heartbleed-Informationen zu allen von Ihnen verwendeten Apps einholen, die OpenSSL verwenden.