Eine schwere Sicherheitslücke macht das Ausspionieren von Daten im Internet zum Kinderspiel.
Wien. Entwickler haben eine der bisher schwersten Sicherheitslücken im Internet entdeckt. Nahezu alle Websites, auf denen Nutzerdaten verschlüsselt übertragen werden, sind durch das „Heartbleed“ getaufte Problem ein offenes Buch für Angreifer. Der Fehler steckt in OpenSSL, einer Software, die im Internet durch die Verschlüsselung von Daten eine sichere Übertragung ermöglicht. Mit relativ einfachem Code, der sich bereits im Internet verbreitet, können selbst Laien über diese Schwachstelle Daten einsehen, die sich gerade im Hauptspeicher eines Servers befinden.
66Prozent aller Websites
Die gute Nachricht: Die Lücke wurde bereits geschlossen, und seit Dienstag wird ein Update angeboten. So gut wie alle großen Anbieter haben das Problem also bereits behoben. Die schlechte Nachricht: Die Lücke war potenziell zwei Jahre lang offen. In Österreich verwenden 30.000 Webserver OpenSSL, weltweit sind es mehr als 66Prozent. Ob eine konkrete Website noch betroffen ist, kann unter http://filippo.io/Heartbleed überprüft werden.
Theoretisch können über Heartbleed alle Daten ausspioniert werden, die auf einer Website zu finden sind. Meldet man sich beispielsweise beim Onlinebanking an, liegen zu diesem Zeitpunkt alle Daten, die man auf seinem eigenen Bildschirm sieht, im Hauptspeicher des Servers.
Passwort ändern?
Schickt jetzt ein Angreifer eine Anfrage an den Server, erhält er einen kleinen Ausschnitt der Daten aus dem Hauptspeicher als Antwort. Darin könnte etwa ein Kontostand oder auch ein Passwort enthalten sein, erklärt Aaron Kaplan von der österreichischen IT-Sicherheitszentrale Cert. Unabsehbar ist die gesamte Tragweite auch deshalb, weil über die Sicherheitslücke auch der Code-Schlüssel gelesen werden kann, mit dem potenziell künftige verschlüsselte Daten entschlüsselt werden können.
Leider kann man als Nutzer relativ wenig tun, um sich zu schützen. Wenn die Website noch von Heartbleed betroffen ist, ist das Ändern des Passworts sinnlos, da Angreifer das neue Passwort genauso auslesen könnten. Kaplan rät, das Passwort dann zu ändern, wenn das Problem behoben wurde. Beim Onlinebanking sei ein Missbrauch aber nahezu ausgeschlossen, da für Transaktionen zusätzlich TAN-Codes benötigt werden, so Kaplan. Große Anbieter haben zudem Systeme, die ungewöhnliche Transaktionen erkennen und Alarm schlagen. Das gilt auch für große Onlineshops wie Amazon.
("Die Presse", Print-Ausgabe, 11.04.2014)