Die drängendsten Fragen und Antworten zu der schweren Sicherheitslücke, die das Lesen von Nutzerdaten zum Kinderspiel macht.
Am Dienstag haben Entwickler auf eine der bisher schwersten Sicherheitslücken im Internet aufmerksam gemacht. Fast alle Websites, auf denen Nutzerdaten verschlüsselt übertragen werden sind durch das "Heartbleed" getaufte Problem ein offenes Buch für Angreifer. DiePresse.com beantwortet die drängendsten Fragen.
Was ist Heartbleed genau?
Die Sicherheitslücke Heartbleed steckt bereits seit 14. März 2012 in der Verschlüsselungssoftware OpenSSL, die im Internet verwendet wird, um Daten verschlüsselt zu übertragen. OpenSSL wird auch beim Betrieb HTTPS-fähiger Webserver verwendet.
Welche Daten können durch Heartbleed von Angreifern angesehen werden?
Heartbleed lässt Angreifer auf sensible Daten zugreifen, die auf dem Webserver gespeichert sind. Das umfasst Namen, Passwörter und beispielsweise Kreditkartennummern, aber auch Verschlüsselungs-Codes. Letztere ermöglichen wiederum die Entschlüsselung vergangener und vielleicht sogar künftiger Kommunikation.
Wie einfach ist es, diese Lücke auszunützen?
Leider kann die Abfrage von Daten über Heartbleed mit einem einfachen Code selbst von Laien durchgeführt werden.
Welche Websites sind betroffen?
Die gute Nachricht ist: Die Lücke wurde bereits geschlossen und seit Dienstag wird ein Update angeboten. So gut wie alle großen Anbieter haben das Problem also bereits behoben. Beispielsweise Google und Yahoo haben das Update nach eigenen Angaben eingespielt. Einige wenige Firmen haben OpenSSL gar nicht verwendet und waren daher zu keinem Zeitpunkt betroffen - etwa Microsoft und damit auch der beliebte E-Mail-Dienst Hotmail.
Wie stark sind österreichische Seiten betroffen?
In Österreich waren etliche Websites betroffen, das Update wurde aber von den meisten bereits eingespielt. Laut CERT.at wird OpenSSL von 30.000 österreichischen Servern eingesetzt - insgesamt seien fünf bis 15 Prozent aller .at-Adressen betroffen. Wer auf Nummer sicher gehen will, kann Webadressen bei dem Passwort-Software-Anbieter LastPass auf Heartbleed testen.
Muss ich mein Passwort ändern?
Wenn die Website von Heartbleed betroffen ist, ist das Ändern des Passworts sinnlos, da Angreifer das neue Passwort genauso auslesen könnten. War eine Website betroffen und hat die Lücke geschlossen, sollte das Passwort geändert werden.
Was kann man noch tun, um sich zu schützen?
Jetzt kommt die schlechte Nachricht: Man kann fast nichts machen. Weil potenziell auch Bankdaten oder Kreditkartennummern betroffen sind, sollte man in den nächsten Wochen seine Kontoaktivitäten besonders gut im Auge behalten.
(sg)