zum Hauptinhalt
Zuletzt warnte das BSI vor der Sicherheitslücke "Heartbleed". Nun müssen Internet-Nutzer bei angeblichen Mails des Amtes aufpassen.

© Reuters

Schwere Sicherheitslücke entdeckt: Mit Chrome gegen die "Freak"-Gefahr

Weil die US-Regierung den Export hochwertiger Verschlüsselungssoftware über Jahre verboten hat, klafft nun ein großes Sicherheitsleck im Internet.

Einen alternativen Internet-Browser wie Chrome, Firefox oder Opera zu nutzen, ist oftmals nicht nur erheblich komfortabler, sondern in vielen Fällen auch deutlich sicherer als der Einsatz eines Standard-Programms – vor allem bei von Smartphones und Tablets. Sicherheitsforscher haben eine seit Jahren vorhandene Schwachstelle in der Verschlüsselung beim Internet-Surfen mit dem Safari-Browser von Apple sowie Smartphones mit dem Google-System Android entdeckt. Dadurch konnte der Datenverkehr beim Besuch eigentlich abgesicherter Websites entschlüsselt werden. Ist es Hackern erst einmal gelungen, die Schwachstelle auszunutzen, können Passwörter oder andere persönliche Informationen gestohlen werden. Zudem ist es möglich, auf den Webseiten neuen Schadcode für eine breiter angelegte Angriffswelle zu platzieren. Die Anbieter kündigten an, die Lücke umgehend zu schließen. Der Internet Explorer von Microsoft ist nicht betroffen.
Die Schwachstelle geht auf die 80er und 90er Jahre zurück, als es US-Firmen verboten war, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen. Die US-Regierung hob das Verbot Ende der 90er Jahre auf, die alte unsichere Verschlüsselung verschwand allerdings nicht komplett. Der 512bit-Schlüssel wurde im Jahr 1999 gebrochen. Mit heutiger Technik benötigen 75 beim Amazon Web Service gemietete Cloudcomputer maximal sieben Stunden, um unter Anleitung eines begabten Hackers Codes auf dieser Basis zu knacken. Eine Verdoppelung der Schlüsselänge auf 1024 bit würde hingegen nach Expertenschätzung „einige Millionen Desktop-Computer und ein Team von exzellenten Code-Knackern ein Jahr beschäftigen“, schreibt die „Washington Post“.

Beim Ansteuern von bestimmten Webseiten, darunter amerikanische Regierungsseiten wie etwa das Webangebot der Bundespolizei FBI, konnten die betroffenen Browser auch jetzt noch dazu bewegt werden, die veraltete Verschlüsselung zu verwenden. Diesen Fehler stellten Experten unter anderem des französischen Computer-Forschungsinstituts Inria und von Microsoft fest. Dadurch könnte mit Verschlüsselung mit Hilfe heutiger Computer innerhalb weniger Stunden geknackt werden.

Die Schwachstelle, die unter der Abkürzung „Freak“ (für Factoring attack on RSA-Export Keys) geführt wird, wurde Anfang der Woche in Blogbeträgen von Sicherheitsforschern und des des Netzwerk-Dienstleisters Akamai bekannt. Die Zahl der gefährdeten Webseiten mit der Länderendung .de für Deutschland ist jedoch eher gering. Die Webseite freakattack.com führt nur die Seiten giga.de, testberichte.de, filmstarts.de, markt.de t3n.de, pcgameshardware.de explizit auf. Eine Apple-Sprecherin sagte der Zeitung, die Lücke solle in dem Safari-Webbrowser kommende Woche geschlossen werden. Google erklärte der Zeitung, den Herstellern von Android-Geräten sei bereits eine Lösung für das Problem zur Verfügung gestellt worden. Unklar ist noch, wie die Hersteller der Android-Geräte die Updates verteilen werden. Zumindest so lange sollte in jedem Fall ein alternativer Browser eingesetzt werden. (mit dpa)

Zur Startseite