Die Gefahr nimmt kein Ende: Nun ist es schon knapp ein Vierteljahr her dass der Heartbleed Bug bekannt wurde. Dabei handelt es sich um die gravierendste Sicherheitslücke in der Geschichte des
Internets. Das Sicherheitsloch gefährdet die verschlüsselte Kommunikation im Internet und liefert Angreifern Benutzernamen und Passwörter.
Mehrere Versionen der OpenSSL-Bibliothek weisen diese Sicherheitslücke auf. Bei OpenSSL handelt es sich um eine Programmbibliothek, mit der sich Verbindungen mit SSL (Secure Lockets Layer) verschlüsseln lassen. Diese Programmbibliothek verwenden die unterschiedlichsten Internet- und
Netzwerk-Dienste. Betroffen sind deshalb nicht nur Webserver, sondern auch
E-Mail-Server, FTP-Server, VPN-Server oder
Router und
NAS-Server.
Bei Bekanntwerden des Sicherheitslecks waren
dem Sicherheitsexperten Robert Graham zufolge rund 600.000 Internetserver betroffen. Einem Monat später waren nur noch 300.000 Server unsicher. Doch nun herrscht Stillstand: Letztes Wochenende scannte Graham das Internet noch einmal nach verwundbaren Servern – und er fand noch immer über 300.000 unsichere Server.
Und dabei bleibt es nicht: Robert Graham geht davon aus, dass auch in zehn Jahren noch immer Tausende von Servern vom Heartbleed Bug betroffen sein werden und das Sicherheitsleck auf diesen Servern nicht geflickt wird. Das Problem löst sich nur dann, wenn die Hardware der älteren Server irgendwann einmal ausgetauscht wird.
Medienberichten zufolge soll der
Heartbleed Bug übrigens bereits seit zwei Jahren bekannt sein – und vom US-amerikanischen Geheimdienst NSA seitdem auch ausgenutzt werden. Die US-Behörden haben nach eigenen Angaben aber selbst erst
im April dieses Jahres vom Heartbleed-Leck erfahren.
Amazon, AOL,
Apple, LinkedIn,
Microsoft und PayPal sollen laut eigenen Angaben nicht von der OpenSSL-Sicherheitslücke betroffen sein.
Google hat nach eigenen Angaben den Fehler so früh gefixt, dass man die Passwörter nicht ändern müsste. Dennoch sollten Sie alle Ihre Passwörter umgehend ändern. Das gilt für alle Internetdienste, also auch für
Dropbox, eBay,
Facebook & Co. Vom Heartbleed Bug sind
laut Netcraft rund 500.000 Websites und Online-Dienste betroffen.
Im Artikel
„Tipps & Tricks für sichere Passwörter“ haben wir für Sie Tipps für sichere und leicht zu merkende Passwörter zusammengestellt.
Beachten Sie: Die Änderung eines Passworts ist selbstverständlich erst dann sinnvoll, wenn der betroffene Online-Dienst die Sicherheitslücke geschlossen hat. Andernfalls könnten Angreifer auch Ihr neues Passwort abgreifen. Die Webseite Mashable sammelt
die Stellungnahmen großer Internetanbieter zum Heartbleed Blug.
Die wichtigsten Fragen zu dem schwerwiegenden OpenSSL-Fehler beantworten wir in unserem Artikel
„7 Fragen & Antworten zum Heartbleed Bug“.