Sicherheitslücke Heartbleed: Der Schock wirkt noch nach

Sicherheitslücke Heartbleed: Der Schock wirkt noch nach

, aktualisiert 10. Oktober 2014, 13:01 Uhr
Bild vergrößern

Logo der Sicherheitslücke Heartbleed: Ein halbes Jahr nach der Entdeckung sind immer noch Webseiten verwundbar.

von Christof KerkmannQuelle:Handelsblatt Online

Heartbleed ist nicht mehr in den Schlagzeilen – und trotzdem noch ein Problem. Viele Webseiten sind noch immer nicht gegen die Schwachstelle in der Verschlüsselungssoftware OpenSSL abgesichert. Eine Zwischenbilanz.

Es klingt nach einer unglücklichen Liebe, ist aber eine riesige Sicherheitslücke: Heartbleed jagte der Internetbranche im April einen mächtigen Schock ein. Der Programmierfehler in der Verschlüsselungssoftware OpenSSL ermöglichte es Angreifern, auf vermeintlich geschützte Informationen zuzugreifen, etwa Passwörter oder Kontodaten. Zahllose Webseiten und Internet-Dienste waren verwundbar, darunter namhafte Unternehmen wie Google, Yahoo und Dropbox.

Inzwischen hat sich die Aufregung gelegt. Doch eine Zwischenbilanz nach einem halben Jahr fällt bestenfalls gemischt aus: Gerade die großen Unternehmen haben schnell reagiert, dennoch sind noch mehrere Hunderttausend Systeme ungeschützt – und sie dürften es vermutlich auch noch länger bleiben.

Anzeige

Genaue Zahlen lassen sich nur unter großem Aufwand ermitteln. Doch einige Studien liefern Anhaltspunkte. So haben die beiden deutschen Forscher Christoph Sorge und Nils Gruschka untersucht, ob auf den beliebtesten 20.000 Seiten der Welt noch die alte, unsichere Software zum Einsatz kommt. Als Grundlage nahmen die Professoren aus Saarbrücken und Kiel die Liste des Statistikdienstes Alexa. Ende September waren davon 215 verwundbar, von den rund 500 Adressen mit der deutschen .de-Endung jedoch nur eine.

Zudem haben die Forscher überprüft, ob die Website-Betreiber nach der Software-Aktualisierung auch die kryptografischen Schlüssel sowie die Zertifikate ausgetauscht haben – beides ist gleichzeitig nötig, um die Informationen für Außenstehende unleserlich zu machen. „Geschieht das nicht, ist das mindestens ein handwerklicher Fehler“, sagt Gruschka, der an der Fachhochschule Kiel den Studiengang Informationstechnologie und Internet leitet. Unter den 100 beliebtesten deutschen Webseiten mit .de-Endung waren das immerhin drei.

Fazit: Die beliebtesten deutschen Webseiten sind weitgehend geschützt. „Bei kleineren Anbietern wird es vermutlich noch mehr Probleme geben, aber insgesamt sieht es bei den deutschen Webseiten gut aus“, sagt Sorge, der einen Lehrstuhl an der Universität des Saarlandes hat.

Es gibt jedoch Anzeichen dafür, dass die Lage außerhalb Deutschlands deutlich schlechter ist. So hat der amerikanische IT-Dienstleister Errata Security im Juni bei einem Scan von 22 Millionen Systemen festgestellt, dass mindestens noch 300.000 Server im Internet verwundbar sind – ähnlich viele wie einen Monat zuvor. Die Schlussfolgerung der Firma: Wer die Lücke jetzt noch nicht geschlossen hat, wird es vermutlich auch nicht so bald tun. „Selbst in einem Jahrzehnt wird man noch tausende verwundbare Systeme finden, darunter auch kritische“, befürchtet Robert Graham von Errata Security.

Ein ähnliches Bild zeichnet IBM. Der IT-Riese verzeichnete bei seinen Kunden im April eine Vielzahl von Angriffen, danach flaute der Sturm ab. Weil die meisten Unternehmen sich absicherten, suchten sich die kriminellen Hacker neue Ziele. Trotzdem stellte die Sicherheitsabteilung im August immer noch 7000 Angriffe pro Tag fest.

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%