https://www.faz.net/aktuell/technik-motor/digital/probleme-mit-open-ssl-luecke-in-verschluesselungs-software-ermoeglicht-datenklau-12887202.html
Startseite Home : 0 neue oder aktualisierte Artikel.
Ukraine-Konflikt
Politik
Wirtschaft
Finanzen
Feuilleton
Karriere & HochSchule
Sport
Gesellschaft
Stil
Rhein-Main

Services:

Technik & Motor
Wissen
Reise
Multimedia
Video
Fotografie
Spiele
Agenturmeldungen
Kontakt
Impressum
Datenschutz
Nutzungsbedingungen
Digital

Probleme mit Open SSL : Lücke in Verschlüsselungs-Software ermöglicht Datenklau

  • Aktualisiert am
Angreifer können durch den Fehler in der Software die privaten Schlüssel auslesen, mit denen Informationen geschützt werden Bildbeschreibung einblenden

Angreifer können durch den Fehler in der Software die privaten Schlüssel auslesen, mit denen Informationen geschützt werden Bild: dpa

In einer populären Verschlüsselungs-Software, die eigentlich Passwörter und andere geheime Daten schützen soll, ist ein gravierender Fehler aufgetaucht. Ein Update soll das Leck stopfen, macht das System aber nicht endgültig dicht.

          2 Min.

          Die weit verbreitete Verschlüsselungs-Software OpenSSL, die Online-Kommunikation schützen soll, weist eine schwerwiegende Sicherheitslücke auf. Die Schwachstelle ermöglicht es Angreifern, Informationen auszulesen und Kommunikation abzugreifen. Dazu zählen auch die technischen Schlüssel von Nutzern, die deren Kommunikation eigentlich absichern sollen. SSL wird benutzt, um Informationen auf dem Weg durchs Web zu schützen, etwa Passwörter oder die Inhalte von E-Mails.

          Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern „Heartbleed“ genannt, weil er Informationen „ausblutet“. Die Schwachstelle „erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben“, schrieben die Entdecker. Das Bundesamt für Sicherheit in der Informationstechnik, das Internetnutzer in Deutschland vor Schadsoftware warnen soll, stuft die Schwachstelle als kritisch ein.

          „Das sind die Kronjuwelen“

          Besonders schwerwiegend: Angreifer können damit die privaten Schlüssel auslesen, mit denen Informationen geschützt werden. „Das sind die Kronjuwelen“, warnten die Sicherheitsexperten von Google und Codenomicon, die den Bug entdeckten. Wer sie habe, könne eigentlich verschlüsselte Informationen entziffern. Der Fachdienst Heise sprach von einem „Gau für Verschlüsselung im Web“. Damit könnten Angreifer aller Art es leichter haben, Daten abzufischen.
          Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter nutzen SSL-Verschlüsselung. OpenSSL sei einer der am meisten genutzten Bausteine oder „Bibliotheken“ dafür, sagte Falk Garbsch vom Chaos Computer Club der dpa. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.
          Auch der amerikanische Geheimdienst NSA hat laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt.

          Der Schaden, der mit diesem Internet-Störenfried angerichtet werden  könne, sei „grenzenlos“, warnte das spezialisierte Unternehmen Fox-IT. Beispielsweise seien Passwörter des Internetkonzerns Yahoo entschlüsselt worden. Yahoo teilte  jedoch mit, das Problem habe bereits gelöst werden können. Auch Facebook und Google erklärten, man habe die mögliche Gefahr analysiert und bereits Gegenmaßnahmen getroffen.

          Mehr Informationen preisgeben als vorgesehen

          Der Fehler setzt am Anfang einer Verbindung mit einem Webdienst an. Dann tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Wer die Schwachstelle ausnutzt, kann einen Webserver dazu bringen, mehr Informationen preiszugeben als eigentlich vorgesehen, sagte Garbsch.

          Dazu zähle auch eben jener private Schlüssel eines Nutzers, der eigentlich „ganz dringend geheim gehalten werden muss“. „Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird“, sagte Garbsch. So könne ein Angreifer beispielsweise Passwörter stehlen.

          OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. „Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah diese Update durchführen“, sagte Garbsch.
          Doch auch das schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das BSI rät daher Betreiber von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen. Auch die Sicherheitsexerten des Portals golem.de kommen zu diesem Schluss: „Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen.“

          Quellcode kann von jedem eingesehen werden

          Wie ein so schwerwiegender Fehler in eine weit verbreitete Software kommen konnte, ist unklar. „Ob das darauf zurückzuführen ist, dass jemand absichtlich manipuliert hat, ist schwer zu sagen“, meinte Garbsch. „Auszuschließen ist das nicht.“ OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.

          Quelle: FAZ.NET

          Hier können Sie die Rechte an diesem Artikel erwerben.

                Zur Startseite

                Weitere Themen

                Dem Volk aufs Maul geschaut

                Billige Elektroautos : Dem Volk aufs Maul geschaut

                Der neue Chef der Marke Volkswagen, Thomas Schäfer, dreht an der Preisschraube, und zwar in Richtung Auto für alle. Der Kompaktwagen ID 2 soll Ende 2025 für weniger als 25.000 Euro in den Handel kommen.

                • Veröffentlicht/Aktualisiert:

                Kurse und Finanzdaten zum Artikel

                Ähnliche Themen

                Topmeldungen

                Vor allem an Bewegung mangelt es den Deutschen. Öffnen

                Wenig Bewegung, viel Alkohol : So fit sind die Deutschen

                Fragt man die Deutschen, halten sich zwei Drittel für gesund. Dabei ist mehr als die Hälfte von ihnen über­gewichtig. Und auch sonst setzen sie ihr Wohlbefinden viel zu oft aufs Spiel. Der Auftakt unserer Serie „Gesund & Fit“.
                • Veröffentlicht/Aktualisiert:
                Zählen wir mal nach. Gehöre ich schon zur ökonomischen Elite?

                Klassenunterschiede : Eine Frage des Vermögens

                Das Vermögen vieler Reicher entstammt selten eigenen beruflichen Tätigkeiten – sie haben es vielmehr geerbt. Was bedeutet das für unser gesellschaftliches Zusammenleben? Ein neues Klassenmodell sucht Antworten.
                • Veröffentlicht/Aktualisiert:

                Newsletter

                Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
                Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.
                Strategic Business Development Manager (d/m/w)
                Top of Minds
                Referent Wirtschaft, Forschung, Technologie (m/w/d)
                UBW Unternehmer Baden-Württemberg
                Leiterin / Leiter (m/w/d) des Geschäftsbereiches Personal und Betriebswirtschaft
                Deutscher Wetterdienst
                Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter (m/w/d) (Master/Uni-Diplom) für die Durchführung von Projekten im Bereich Klimawirkungsanalyse
                Bundesanstalt für Straßenwesen
                Zum Stellenmarkt

                Weitere Themen

                Verlagsangebot

                Services