http://www.faz.net/-gqe-7o97m

„Heartbleed“-Bug : Ist das der GAU im Internet?

  • Aktualisiert am

Der Heartbleed-Test eines italienischen Programmierers Bild: Filippo Valsorda

Technikexperten haben eine Sicherheitslücke im Internet entdeckt und sprechen vom „Super-Gau“. Viele Nutzer verstehen aber gar nicht, was genau passiert ist. Was können sie tun? Welche Passwörter ändern? Wie die Bankdaten schützen?

          Was ist Heartbleed?

          Heartbleed ist eine Sicherheitslücke in einer Verschlüsselungs-Software, die eigentlich Sicherheitslücken vermeiden soll. Und das ist auch schon das Gemeine daran. Die Software heißt OpenSSL und macht Informationen wie Passwörter oder E-Mail-Inhalte auf ihrem Weg durchs Internet für Dritte unleserlich - eigentlich. Seit Heartbleed entdeckt wurde, wissen Computerexperten, dass Datendiebe auch verschlüsselte Kommunikation ausspionieren können. Deshalb sprechen sie vom „Super Gau“ im Internet.

          Ist das wirklich der Super Gau für den einfachen Internet-Nutzer?

          Das ist leider möglich. Denn selbst wenn sich jetzt alle Server-Administratoren bemühen, das Problem schleunigst zu beheben: Die Lücke bestand wohl schon seit etwa zwei Jahren. Und was Datendiebe womöglich in der Vergangenheit geklaut haben, das ist nun unwiderruflich in ihren Händen.

          Kann man denn gar nichts machen?

          Sobald ein Seitenbetreiber die Lücke geschlossen hat, können Nutzer ihr Passwort ändern und so zumindest vermeiden, dass in Zukunft Kommunikation von Dritten abgefangen wird.

          Welche Passwörter muss ich ändern?

          Das Tech-Blog „Mashable“ hat bei betroffenen Internetseiten nachgefragt, ob sie den Fehler behoben haben und die Nutzer ihr Passwort ändern sollten. Die sozialen Netzwerke Facebook und Tumblr, aber auch der E-Mail-Anbieter Yahoo raten demnach dazu, das Passwort zu ändern. Gleiches gilt für Dropbox, Soundcloud und Wunderlist. Der Internetkonzern Google teilte mit, dass Nutzer ihr Passwort nicht ändern müssten - die Betreiber von „Mashable“ raten dennoch dazu, da Google die Sicherheitslücke bestätigt habe.

          Kann ich herausfinden, ob zum Beispiel mein E-Mail-Anbieter von dem Fehler betroffen ist?

          Ja. Der italienische Programmierer Filippo Valsorda hat eine Art Werkzeug ins Netz gestellt, mit dem man testen kann, ob eine bestimmte Internetseite betroffen ist.: http://filippo.io/Heartbleed/.

          Aber was ist mit Seiten, die in der Vergangenheit betroffen waren? Datendiebe könnten doch meine E-Mails längst gelesen haben...

          Richtig. Auf Valsordas Seite tauchten noch vorgestern sehr bekannte Namen als von der Sicherheitslücke betroffen auf: Der E-Mail-Anbieter web.de (United Internet) war zum Beispiel darunter. Inzwischen hat United Internet reagiert und “die entsprechenden Updates vorgenommen, so dass alle Systeme auf dem neuesten Stand sind“, sagte ein Sprecher zu FAZ.NET. Auch andere sehr bekannte Seiten waren laut Valsorda zumindest in der jüngeren Vergangenheit betroffen, darunter Yahoo, Flickr und Doodle. Aber auch Nachrichtenseiten wie economist.com oder zdf.de stehen auf der Liste.

          Haben Datendiebe nun meine Bank-Passwörter gestohlen?

          Das ist zumindest nicht ausgeschlossen. Die Dachorganisation der Bankenverbände hat am Donnerstag indirekt zugegeben, dass auch deutsche Geldinstitute von der Sicherheitslücke betroffen waren. Mehr noch: Dass die Schwachstellen noch nicht überall vollständig beseitigt sind. „Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise abgeschlossen worden“, erklärte die Deutsche Kreditwirtschaft wörtlich. Sehr beruhigend für die Verbraucher klingt das nicht: Kriminelle sind dank Heartbleed in der Lage, sich als eine andere Website auszugeben, etwa für die einer Bank. Deshalb bemühen sich Sparkassen und Banken nun fieberhaft, die Sicherheitslücke bei der Verschlüsselung zu beseitigen. Doch „abgeschlossen“ sind diese Bemühungen offenbar nicht überall.

          Was kann ich tun, wenn ich selbst einen Webserver oder E-Mail-Server betreibe?

          OpenSSL hat bereits in der Nacht zu Dienstag eine neue Version zur Verfügung gestellt, die die Schwachstelle schließen soll. Betreiber sollten so schnell wie möglich dieses Update durchführen. Doch auch das schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher Betreibern von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen.

          Weitere Themen

          Rom will nicht nachgeben Video-Seite öffnen

          Streit mit EU : Rom will nicht nachgeben

          Die italienische Regierung gibt im Haushaltsstreit mit der Europäischen Union nicht nach. Um die Wirtschaft anzukurbeln will Italien mehr Schulden aufnehmen, als nach EU-Regeln erlaubt.

          „Ärzte haben Angst“

          Interview mit Medizinern : „Ärzte haben Angst“

          Die Politik will die Organisation der Organspende neu regeln. Drei erfahrene Mediziner sprechen darüber, wie sinnvoll das ist – und warum ihr Berufsstand dringend Vertrauen zurückgewinnen muss.

          Die Sonntagsfrage Video-Seite öffnen

          F.A.S.-Quiz : Die Sonntagsfrage

          Testen Sie, wie wach Sie das wirtschaftliche Geschehen der Woche verfolgt haben. Für jede Frage ist eine Lösung richtig.

          Topmeldungen

          Warum Italien stur bleibt : Vier Gründe für den Trotz

          Rom bleibt stur und will, dass der Haushaltsentwurf bleibt, wie er ist. Für die trotzige Haltung gibt es vier Gründe. Doch auch die EU hat wenig Anlass, ihre Position zu ändern.

          Personalkrise im Weißen Haus : Feuert Trump die nächste Ministerin?

          Donald Trump hat gerade erst Justizminister Sessions rausgeworfen. Nun soll angeblich auch Heimatschutzministerin Kirstjen Nielsen gehen. Das könnte jedoch zu einem Showdown im Weißen Haus führen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.