http://www.faz.net/-gqe-7o97m

„Heartbleed“-Bug : Ist das der GAU im Internet?

  • Aktualisiert am

Der Heartbleed-Test eines italienischen Programmierers Bild: Filippo Valsorda

Technikexperten haben eine Sicherheitslücke im Internet entdeckt und sprechen vom „Super-Gau“. Viele Nutzer verstehen aber gar nicht, was genau passiert ist. Was können sie tun? Welche Passwörter ändern? Wie die Bankdaten schützen?

          Was ist Heartbleed?

          Heartbleed ist eine Sicherheitslücke in einer Verschlüsselungs-Software, die eigentlich Sicherheitslücken vermeiden soll. Und das ist auch schon das Gemeine daran. Die Software heißt OpenSSL und macht Informationen wie Passwörter oder E-Mail-Inhalte auf ihrem Weg durchs Internet für Dritte unleserlich - eigentlich. Seit Heartbleed entdeckt wurde, wissen Computerexperten, dass Datendiebe auch verschlüsselte Kommunikation ausspionieren können. Deshalb sprechen sie vom „Super Gau“ im Internet.

          Ist das wirklich der Super Gau für den einfachen Internet-Nutzer?

          Das ist leider möglich. Denn selbst wenn sich jetzt alle Server-Administratoren bemühen, das Problem schleunigst zu beheben: Die Lücke bestand wohl schon seit etwa zwei Jahren. Und was Datendiebe womöglich in der Vergangenheit geklaut haben, das ist nun unwiderruflich in ihren Händen.

          Kann man denn gar nichts machen?

          Sobald ein Seitenbetreiber die Lücke geschlossen hat, können Nutzer ihr Passwort ändern und so zumindest vermeiden, dass in Zukunft Kommunikation von Dritten abgefangen wird.

          Welche Passwörter muss ich ändern?

          Das Tech-Blog „Mashable“ hat bei betroffenen Internetseiten nachgefragt, ob sie den Fehler behoben haben und die Nutzer ihr Passwort ändern sollten. Die sozialen Netzwerke Facebook und Tumblr, aber auch der E-Mail-Anbieter Yahoo raten demnach dazu, das Passwort zu ändern. Gleiches gilt für Dropbox, Soundcloud und Wunderlist. Der Internetkonzern Google teilte mit, dass Nutzer ihr Passwort nicht ändern müssten - die Betreiber von „Mashable“ raten dennoch dazu, da Google die Sicherheitslücke bestätigt habe.

          Kann ich herausfinden, ob zum Beispiel mein E-Mail-Anbieter von dem Fehler betroffen ist?

          Ja. Der italienische Programmierer Filippo Valsorda hat eine Art Werkzeug ins Netz gestellt, mit dem man testen kann, ob eine bestimmte Internetseite betroffen ist.: http://filippo.io/Heartbleed/.

          Aber was ist mit Seiten, die in der Vergangenheit betroffen waren? Datendiebe könnten doch meine E-Mails längst gelesen haben...

          Richtig. Auf Valsordas Seite tauchten noch vorgestern sehr bekannte Namen als von der Sicherheitslücke betroffen auf: Der E-Mail-Anbieter web.de (United Internet) war zum Beispiel darunter. Inzwischen hat United Internet reagiert und “die entsprechenden Updates vorgenommen, so dass alle Systeme auf dem neuesten Stand sind“, sagte ein Sprecher zu FAZ.NET. Auch andere sehr bekannte Seiten waren laut Valsorda zumindest in der jüngeren Vergangenheit betroffen, darunter Yahoo, Flickr und Doodle. Aber auch Nachrichtenseiten wie economist.com oder zdf.de stehen auf der Liste.

          Haben Datendiebe nun meine Bank-Passwörter gestohlen?

          Das ist zumindest nicht ausgeschlossen. Die Dachorganisation der Bankenverbände hat am Donnerstag indirekt zugegeben, dass auch deutsche Geldinstitute von der Sicherheitslücke betroffen waren. Mehr noch: Dass die Schwachstellen noch nicht überall vollständig beseitigt sind. „Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise abgeschlossen worden“, erklärte die Deutsche Kreditwirtschaft wörtlich. Sehr beruhigend für die Verbraucher klingt das nicht: Kriminelle sind dank Heartbleed in der Lage, sich als eine andere Website auszugeben, etwa für die einer Bank. Deshalb bemühen sich Sparkassen und Banken nun fieberhaft, die Sicherheitslücke bei der Verschlüsselung zu beseitigen. Doch „abgeschlossen“ sind diese Bemühungen offenbar nicht überall.

          Was kann ich tun, wenn ich selbst einen Webserver oder E-Mail-Server betreibe?

          OpenSSL hat bereits in der Nacht zu Dienstag eine neue Version zur Verfügung gestellt, die die Schwachstelle schließen soll. Betreiber sollten so schnell wie möglich dieses Update durchführen. Doch auch das schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher Betreibern von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen.

          Weitere Themen

          Ein Besuch bei Wildwax Tuch Video-Seite öffnen

          Generation Plastik : Ein Besuch bei Wildwax Tuch

          Muss es immer die Frischhaltefolie aus Kunststoff sein? Das Start-up Wildwax Tuch bietet umweltbewussten Konsumenten eine Alternative – aus einem altbewährten Rohstoff.

          Topmeldungen

          Neue Technologien und neue Mitarbeiter: Facebook rüstet auf beim Kampf gegen unerwünschte Aktivisten.

          Facebooks „War Room“ : Auf dem Kriegspfad

          Facebook hat ein neues Lagezentrum eingerichtet, von dem aus Falschinformationen aufgespürt und gelöscht werden sollen. Der Name ist Programm: „War Room“.

          Moorbrand in Meppen : Brennende Fragen an die Bundeswehr

          Den Moorbrand in Meppen riecht man inzwischen sogar in Schleswig-Holstein. Ein Politiker stellte Strafanzeige gegen Verwantwortliche der Bundeswehr.
          Große Freude vor kleiner Kulisse: Frankfurt gewinnt das Geisterspiel von Marseille

          2:1 in Marseille : Frankfurt verscheucht die Geister

          Der deutsche Pokalsieger startet unerwartet erfolgreich in die Europa-League-Saison. Vor leeren Rängen bei Olympique Marseille dreht Eintracht Frankfurt das Spiel nach frühem Rückstand und in Unterzahl.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.