Gehackte E-Mails und OpenSSL-Lücke "Heartbleed" - was Computernutzer nun wissen müssen
Düsseldorf · Eigentlich soll die im Netz sehr weit verbreitete Verschlüsselungssoftware OpenSSL dafür sorgen, dass Online-Kommunikation, insbesondere Zugangsdaten und Passwörter, sicher übertragen werden. Doch ein laut BSI gravierender Fehler in der Software öffnet eine Tür für Angreifer. Arglose Nutzer werden ausspioniert. Was soll man als User nun tun?
Wozu wird OpenSSL genutzt? OpenSSL wird dazu benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Angewendet wird es zum Beispiel von E-Mail-Diensten oder beim Online-Banking.
Warum ist der entdeckte Fehler so gravierend? Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter nutzen SSL-Verschlüsselung. OpenSSL sei einer der am meisten genutzten Bausteine oder "Bibliotheken" dafür, sagte Falk Garbsch vom Chaos Computer Club. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.
Besonders schwerwiegend: Angreifer können damit die privaten Schlüssel auslesen, mit denen Informationen geschützt werden. "Das sind die Kronjuwelen", warnten die Sicherheitsexperten von Google und Codenomicon, die den Bug entdeckten. Wer sie habe, könne eigentlich verschlüsselte Informationen entziffern. Der Fachdienst Heise sprach von einem "Gau für Verschlüsselung im Web". Damit könnten Angreifer aller Art es leichter haben, Daten abzufischen.
Wie können Angreifer die Lücke ausnutzen? Die "Heartbleed" (Herzbluten) getaufte Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen, die OpenSSL einsetzen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden.
Im letztgenannten Fall könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT.
Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, ist unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben.
Sind alle Webseiten, die OpenSSL einsetzen, betroffen? Der Software-Fehler ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde, wie das BSI mitteilte. Die Schwachstelle sei "als kritisch einzustufen". Inzwischen steht eine neue Version des Programms zur Verfügung, das die Sicherheitslücke schließt. Betreiber von Webservern, die OpenSSL benutzen, sollten "umgehend" auf die neueste Version aktualisieren, erklärte das BSI. Danach sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden.
Auch die Sicherheitsexerten des Portals golem.de kommen zu diesem Schluss: "Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen."
Kann ich selbst testen, welche OpenSSL-Version eine Webseite nutzt? Ja. Viele Serverbetreiber haben inzwischen reagiert und die Lücke mit einem Update für OpenSSL geschlossen, berichtet "Heise Security". Ob dazu auch die von ihnen genutzten Dienste gehören, können Nutzer zum Beispiel unter http://filippo.io/Heartbleed/ testen.
Den Test hat der italienische Programmierer Filippo Valsorda ins Netz gestellt. Nutzer müssen hier nur die Adresse einer Seite eintippen, zum Beispiel von einem Webmailer - das Ergebnis erscheint dann innerhalb weniger Sekunden. Valsorda hat auch ein passendes Add-on für Chrome ins Netz gestellt. Damit schlägt der Google-Browser automatisch Alarm, wenn der Nutzer eine anfällige Seite besucht.
Was kann man als Nutzer sonst noch machen? In Internetforen wird Verbrauchern geraten, vorsichtshalber Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern. Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet Nutzern, für die anonymes Surfen besonders wichtig ist, sich "die nächsten Tage komplett vom Internet fernzuhalten". Sie sollten abwarten, bis das OpenSSL-Update weite Verbreitung gefunden habe und die Schlüssel und dazu gehörigen Zertifikate ausgetauscht worden seien.