Reaktion USA : Was die "Heartbleed"-Sicherheitslücke bedeutet

Reaktion USA : Was die "Heartbleed"-Sicherheitslücke bedeutet

, aktualisiert 12. April 2014, 11:12 Uhr
Bild vergrößern

Inzwischen wurde die Lücke auch in weit verbreiteter Netzwerk-Technik gefunden.

Die "Heartbleed"-Sicherheitslücke hat gravierende Folgen. Vorwürfe, die USA habe die Schwachstelle ausgenutzt, wurden umgehend dementiert. Was sie als Nutzer tun können.

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe. Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der „Heartbleed“-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, versicherte die Sprecherin.

Anzeige

Normalerweise sollen die Verschlüsselungssoftware Daten im Internet gegen Ausspähen schützen. Doch derzeit versetzt eine Sicherheitslücke in der weit verbreiteten Software OpenSSL Experten und Betreiber von Websites in Aufruhr. Denn die Schwachstelle erlaubt es Angreifern, sensible Daten aus verschlüsselten Verbindungen zu stehlen. Die wichtigsten Fragen und Antworten im Überblick:

Wer ist davon betroffen?
Die Lücke klafft in einer Software namens OpenSSL. OpenSSL ist einer der Baukästen für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend. Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL. Sicherheitsexperte Bruce Schneier spricht von einem „katastrophalen Fehler“. Zuletzt entdeckten etwa die Netzwerk-Ausrüster Cisco und Juniper die Lücke in ihrer Technik. Cisco und Juniper, von denen ein großer Teil der Netzwerk-Technik hinter den Kulissen des Internet kommt, veröffentlichten Anweisungen zum schließen der Lücken in ihren Geräten. Nach Einschätzung von Fachleuten dürfte dieser Prozess länger dauern als bei Websites. Auch Internet-Riesen wie Google und Yahoo waren von der Lücke betroffen.

Wo liegt die Schwachstelle?
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag.

Heartbleed OpenSSL-Lücke ist Stresstest für Internetdienste und Startups

Während Anwender gegen die Sicherheitslücke bei der von vielen Webservices genutzten Verschlüsselungssoftware OpenSSL relativ wenig tun können, gehen viele Unternehmen bis an Äußerste ihrer Kräfte.

huGO-BildID: 36371538 File picture illustration of the word 'password' pictured through a magnifying glass on a computer screen, taken in Berlin May 21, 2013. Security experts warn there is little Internet users can do to protect themselves from the recently uncovered "Heartbleed" bug that exposes data to hackers, at least not until vulnerable websites upgrade their software. Researchers have observed April 8, 2014, sophisticated hacking groups conducting automated scans of the Internet in search of Web servers running a widely used Web encryption program known as OpenSSL that makes them vulnerable to the theft of data, including passwords, confidential communications and credit card numbers. OpenSSL is used on about two-thirds of all Web servers, but the issue has gone undetected for about two years. REUTERS/Pawel Kopczynski/Files (GERMANY - Tags: CRIME LAW SCIENCE TECHNOLOGY) Quelle: REUTERS

Wie kann die Schwachstelle ausgenutzt werden?
Doch Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler „Heartbleed“, weil er Informationen „ausblutet“.

Wie gefährlich ist die Sicherheitslücke?
„Das Problem ist, dass ein Angreifer beliebige Information auslesen kann“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. „Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle.“

Was können Angreifer damit anfangen?
Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann eigentlich sichere Kommunikation mitlesen. Kriminelle könnten sich auch für eine andere Webseite ausgeben, etwa für die einer Bank, warnt Marian Gawron, der am HPI forscht. Wenn die echten, zuvor gestohlenen Sicherheitsinformationen nutzen, wäre das für den Nutzer kaum zu erkennen. Bisher sind keine Attacken bekanntgeworden, sagt Gawron. Aber: „Der Angriff ist sehr schwer nachzuvollziehen, weil er sehr unauffällig ist.“

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%