Sicherheitslücke: Wie gefährlich ist "Heartbleed"?

Es könnte die schlimmste Schwachstelle seit der Massenverbreitung des Internets sein, meint die US-Sicherheitsfirma CloudFlare. Der IT-Experte Bruce Schneier wertet die Sicherheitslücke in der Verschlüsselungssoftware OpenSSL auf einer Skala von 1 bis 10 mit 11. Andere Experten sehen in der Lücke, die inzwischen den Namen „Heartbleed“ – zu deutsch Herzbluten – trägt, sogar den Internet-GAU schlechthin. Der Vergleich mit der Atomkraft ist nicht so weit hergeholt. Ähnlich wie die aus einem AKW entweichende Radioaktivität sind auch die Auswirkungen der Softwarelücke zunächst nicht direkt sichtbar.

Wie ist die Sicherheitslücke entstanden?

Wie sich inzwischen herausgestellt hat, wurde der Fehler in der Verschlüsselungstechnik durch einen deutschen Programmierer verursacht. Bei OpenSSL handelt es sich um Open-Source-Software. Sie wird nicht von einem einzelnen Unternehmen, sondern von freiwilligen Mitarbeitern programmiert. Die Verschlüsselung verhindert, dass ein Dritter den Datenverkehr zwischen zwei Computern mitlesen kann. Der Deutsche hat an einigen Fehlerbehebungen und neuen Funktionen mitgearbeitet. „In einem Patch für ein Feature habe ich offenbar eine Längenprüfung übersehen“, schrieb er in einer Mail an „Spiegel Online“. Der Fehler an sich sei ziemlich trivial gewesen, die Wirkung jedoch gravierend. Im Internet wird dem Deutschen vorgeworfen, die Lücke als Hintertür absichtlich programmiert zu haben. Sogar von Geheimdiensten und der NSA als Auftraggeber ist die Rede.

Wie wirkt sich die OpenSSL-Lücke aus?

Durch die Lücke in der OpenSSL-Programmierung ist es möglich, den Arbeitsspeicher der betroffenen Computer und Server häppchenweise auszulesen, erklärte der Internetsicherheitsexperte Christian Funk von Kaspersky Labs dem Tagesspiegel das Problem. In diesen Datenblöcken können sich sensible Informationen wie die Zugangsdaten zu Internetdiensten, Online-Shops oder Online-Banking befinden. Im schlimmsten Fall kann über die Fragmente sogar die Verschlüsselung komplett ausgehebelt werden, sagt Funk. Die Lücke klaffte offenbar bereits seit zwei Jahren, bevor sie nun öffentlich wurde.

Wer ist davon betroffen?

Schätzungen zufolge arbeiten die Hälfte aller Internetdienste weltweit mit der freien OpenSSL-Verschlüsselung. Die Liste der betroffenen Dienste reicht von Google und Facebook über Wikipedia und Dropbox bis hin zu deutschen Freemail-Anbieter wie Web.de und GMX, aber auch zu Banken und Sparkassen. Die meisten großen Firmen und Institutionen haben inzwischen den Fehler mit entsprechenden Updates beseitigt. Erschwert wird die Situation dadurch, dass nun auch Netzwerkausrüster wie Cisco und Juniper Fehler in ihrer Programmierung entdeckt haben.

Wie groß ist der Schaden bislang?

Ob aus der Lücke bereits ein realer Schaden entstand, ist nicht bekannt. Bisher wurde nur von einem Fall berichtet, in dem es einen Angriff auf die Lücke gegeben haben soll. Die Netzorganisation Electronic Frontier Foundation hat über die IP-Adressen herausgefunden, dass dahinter offenbar ein Netz von gekaperten Computern steht, mit dem versucht wurde, Internetchats abzuhören.

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe. Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der „Heartbleed“-Schwachstelle erfahren, erklärte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, am Freitag.

Die US-Regierung verlasse sich ebenfalls auf die betroffene Verschlüsselungssoftware OpenSSL, um Nutzer von Behörden-Websites zu schützen, betonte sie. Hätten US-Behörden inklusive der Geheimdienste die Schwachstelle entdeckt, hätten sie die Entwickler des Programms informiert, sagte die Sprecherin.

Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen geschrieben, die Lücke sei der NSA seit „mindestens zwei Jahren“ bekanntgewesen und von ihr rege genutzt worden. Unter anderem seien damit Passwörter abgegriffen worden. Die Exklusiv-Informationen von Bloomberg sind üblicherweise sehr gut. Das Dementi der Regierung kam diesmal allerdings keine zwei Stunden danach und fiel deutlich klarer aus als die meisten bisherigen Stellungnahmen in dem seit zehn Monaten köchelnden NSA-Skandal.

Wie kann man sich schützen?

Für den Anwender ergeben sich aus der OpenSSL-Lücke zwei Notwendigkeiten. Hat der Internetdienst mitgeteilt, dass der Fehler behoben wurde, kann er sich wie gewohnt anmelden. Gleiches gilt fürs Online-Banking oder für Internetshops sowie alle anderen Dienste, bei denen persönliche Daten angegeben werden müssen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das den „Heartbleed Bug“ seit Freitag als „kritisch“ einschätzt, weist darauf hin, dass seit dem 7. April mit OpenSSL Version 1.0.1g ein Update zur Verfügung steht, das die Sicherheitslücke schließt. Über die Webseite http://filippo.io/Heartbleed/ kann kontrolliert werden, ob eine bestimmte Webseite noch mit der alten, ungepatchten OpenSSL-Version arbeitet. Auf die von einem italienischen Programmierer zur Verfügung gestellten Webseite wird die Adresse des entsprechenden Dienstes eingegeben. Im Hintergrund überprüft der Heartbleed-Test, , ob bereits das OpenSSL-Update installiert wurde. Einen ähnlichen Service bietet der Dienst Lastpass unter https://lastpass.com/heartbleed/ an.

Welche Passwörter muss man ändern?

Die große Gefahr, die von der Lücke ausgeht, besteht jedoch nach Einschätzung von Kaspersky-Experte Christian Funk darin, dass nicht nachzuprüfen ist, ob und welche Daten von den Webservern entwendet wurden. Um ganz sicher zu gehen, dass sich zum Beispiel niemand unberechtigt Zugang zu den Google-Konten verschafft, muss nun das Passwort geändert werden. Gleiches gilt für Yahoo und andere betroffene Webserver. Der Computerfachdienst Cnet hat eine Liste mit wichtigen Diensten und deren Update-Status veröffentlicht. Bei drei von vier Diensten steht inzwischen fest, dass sie alle drei verfügbaren Tests bestanden haben. Trotzdem wird empfohlen, die Passwörter zu ändern. Dies betrifft laut Cnet die Nutzer von Google, Youtube, Yahoo, Facebook, Instagram, Wikipedia, Bing, MSN, Tumblr, Flickr, Dropbox, GMX, Web.de, 1&1 Mail, Freenet, Telekom Mail, aber auch von Android-Smartphones und -Tablets. Apple, Amazon und Microsoft waren hingegen nach eigenen Angaben nicht betroffen. Christian Funk rät zudem dazu, seine Abrechnungen noch genauer auf ungewöhnliche Abbuchungen zu kontrollieren. (mit dpa)