Sicherheitslücke im Netz: „Heartbleed“ geht alle an
Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine Vielzahl von Angeboten im Internet. Nutzern hilft nur ein Passwort-Wechsel.
BERLIN dpa | Nach der Entdeckung der Schwachstelle in einer wichtigen Software zum Schutz von Daten im Internet wird die gewaltige Dimension der Sicherheitslücke immer deutlicher. Die Lücke „Heartbleed“ klafft in der weit verbreiteten Verschlüsselungs-Software OpenSSL. Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen.
Google gab bekannt, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst Gmail, Youtube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen mit. Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen.
SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.
Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des Internetkonzerns Yahoo. Andere große Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online einzureichen.
„Auf einer Skala von 1 bis 10 ist es eine 11“
„Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein“, sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem Wall Street Journal. Der bekannte Internet-Sicherheitsexperte //www.schneier.com/blog/archives/2014/04/heartbleed.html:Bruce Schneier schrieb: „Auf einer Skala von 1 bis 10 ist es eine 11.“ Ein Netzwerk-Experte sagte dem Technologieblog Ars Technica, er habe in alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle bereits im November 2013 auszunutzen.
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag. Die Schwachstelle wurde deswegen „Heartbleed“ genannt.
Kriminelle können so nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update beheben. Das Bundesamt für Sicherheit in der Informationstechnik rät ihnen zudem, neue Schlüssel zu beantragen. Diese Schlüssel sind nötig, damit die Verschlüsselung der Daten funktioniert. Sie könnten durch den Fehler gestohlen worden sein.
Ohne großes Aufsehen dichtmachen
Die Deutsche Kreditwirtschaft (DK), die Dachorganisation der Bankenverbände, erklärte am Donnerstag, nach Bekanntwerden der Schwachstelle sei sofort überprüft worden, ob die Geldinstitute betroffen seien. „Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise abgeschlossen worden.“
Der Plan sei eigentlich gewesen, die Schwachstelle ohne großes Aufsehen im Hintergrund dichtzumachen, schrieb das Wall Street Journal unter Berufung auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen
meistkommentiert
Krise bei VW
Massiver Gewinneinbruch bei Volkswagen
VW-Vorstand droht mit Werksschließungen
Musterknabe der Unsozialen Marktwirtschaft
Verfassungsgericht entscheidet
Kein persönlicher Anspruch auf höheres Bafög
Kamala Harris’ „Abschlussplädoyer“
Ihr bestes Argument
Zu viel Methan in der Atmosphäre
Rätsel um gefährliches Klimagas gelöst
Nahostkonflikt in der Literatur
Literarischer Israel-Boykott