Heartbleed: OpenSSL-Lücke ist Stresstest für Internetdienste und Startups

ThemaInternet

Heartbleed: OpenSSL-Lücke ist Stresstest für Internetdienste und Startups

Während Anwender gegen die Sicherheitslücke bei der von vielen Webservices genutzten Verschlüsselungssoftware OpenSSL relativ wenig tun können, gehen viele Unternehmen bis an Äußerste ihrer Kräfte.

Wer bei Onlinediensten tätige IT-Chefs, Systemadministratoren, Sicherheitsexperten oder andere mit den technischen Abläufen befasste Personen im Bekanntenkreis hat, sollte sich in dieser Woche nicht über deren Augenringe wundern. Aufgrund der hochkritischen, “Heartbleed” getauften Sicherheitslücke in der verbreiteten Verschlüsselungssoftware OpenSSL werden viele von ihnen übermäßig viel gearbeitet und wenig geschlafen haben.

Denn der “größte anzunehmende Unfall für die Verschlüsselungssoftware” (heise) erfordert das Update der Software, den Austausch von Zertifikaten, die Durchführung vertrauensfördernder Kontroll- und Sicherheitsroutinen sowie die Suche nach eventuellen Spuren, die über den OpenSSL-Bug informierte Eindringlinge hinterlassen haben könnten (wobei deren Nicht-Existenz laut Medienberichten keinesfalls eine Garantie darstellt, dass es nicht zu einem Angriff kam).

Anzeige

Anwender von Webdiensten dürfen in den nächsten Tagen mit der ein oder anderen Mail rechnen, in der Services sie über durchgeführte Maßnahmen zur Absicherung der verschlüsselten SSL-Verbindungen informieren und ihnen die Änderung des Passworts nahelegen. User müssen sich außerdem darauf einstellen, dass das automatische Einloggen bei häufig verwendeten Angeboten plötzlich nicht mehr funktioniert und sie nach Wochen oder gar Monaten erstmalig zur Eingabe ihrer Benutzerdaten aufgefordert werden.

Fragen und Antworten zu Heartbleed

  • Schwachstelle der Verschlüsselung

    Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte: Diese schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Nun ist es aber möglich geworden, dass neben den Test-Daten, auch gespeicherte Informationen, wie Passwörter oder Inhalte von E-Mails übermittelt werden. Der Angreifer kann so alle beliebigen Informationen auslesen.

  • Welche Webseiten waren betroffen?

    Fast alle Webseiten, E-Maildienste und Chatprogramme, die OpenSSL nutzen. Darunter sind etwa die Seiten von Yahoo und Flickr, aber auch Hypovereinsbank.de, Web.de, Kicktipp.de, Chefkoch.de. Eine Liste der 10.000 größten Webseiten, die auf die Schwachstelle geprüft wurden, gibt es hier.

  • Was können Nutzer und Webseitenbetreiber tun?

    Es kann nicht zweifelsfrei ausgeschlossen werden, dass die Werkzeuge zur Verschlüsselung der eigenen Internetdaten gestohlen wurden. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. Abwarten gilt hingegen für Nutzer, solange bis der Betreiber die Lücke geschlossen hat. Passwörter können dann geändert werden, aber erst nach dem der OpenSSL-Fehler behoben wurde.


  • Wie gefährlich ist die Sicherheitslücke?

    „Das Problem ist, dass ein Angreifer beliebige Information auslesen kann“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. „Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle.“


SoundCloud und Wunderlist reagieren schnell

SoundCloud ist einer der ersten großen deutschen Onlineservices, der einen Zwangs-Logout für alle Mitglieder ankündigt. Dieser Schritt sei notwendig, um die OpenSSL-Patches zu aktivieren. Erst danach ist ein Wechsel des Passworts sinnvoll. Die Berliner empfehlen einen solchen Schritt, auch wenn sie betonen, dass sie keine Anzeichen für Datendiebstähle besitzen. Aber das heißt wie erwähnt wenig.

Netzwirtschaft Die 100 wichtigsten Internet-Köpfe in Deutschland

Welche Gründer, Investoren und Manager hierzulande die Entwicklung der Netzwirtschaft in den nächsten Jahren bestimmen werden.

Phillipp Berg,  Eric Wahlforss, Alexander Ljung, Rene Obermann (von links) Quelle: dpa/Montage

Auch bei SoundCloud-Nachbar Wunderlist reagierte man schnell, wie der Dienst gestern per Blogeintrag und Mail an alle Nutzer erläuterte: Zuerst habe man alle Synchronisationsservices abgeschaltet, wodurch jeglicher Datenaustausch zwischen Clients und Wunderlist-Servern unterbunden wurde. Mit anderen Worten: Wunderlist war temporär offline. Parallel wurden das die Lücke eliminierende OpenSSL-Update sowie eine Erneuerung der SSL-Zertifikate durchgeführt. Anschließend erzwangen die Hauptstädter für alle Mitglieder einen Logout. Wer Wunderlist das nächste Mal öffnet, wird daher die Zugangsdaten neu eingeben müssen. Mit Nachdruck rät der Aufgabenmanager seinen Usern, abschließend ihr Passwort zu ändern. In einem lesenswerten persönlichen Blogpost schildert Wunderlist-Softwareentwickler James Duncan Davidson einen stressvollen Arbeitstag, an dem er und seine Kollegen die Gefahr durch eine der “gefährlichsten Sicherheitslücken seit langem” bannen mussten.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%