Heartbleed – Der Bug, von dem die Welt betroffen ist
Was ist Heartbleed?
Vor kurzem wurde von verschiedenen Sicherheitsexperten eine Lücke im System der Sicherheitssoftware OpenSSL gefunden. Heartbleed könnte Schätzungen zufolge bis zu zwei drittel des gesamten World Wide Webs betreffen. So ist es nun möglich in Systeme, die eigentlich eine sichere SSL-Verbindung nutzen, einzudringen und Daten zu stehlen. Solche gesicherten SSL-Verbindungen werden meist an Stellen eingesetzt, wo sensible Daten wie Passwörter oder Bankdaten übermittelt werden. Angriffe durch die Sicherheitslücke hinterlassen keine Spuren auf dem ausspionierten System und können somit auch nicht nachverfolgt werden. Sicher ist, dass Heartbleed zumindest seit Bekanntmachung des Bugs genutzt wird um Daten auszuspionieren. Inwieweit schon vor dem Finden des Fehlers Angriffe stattfanden, ist nicht bekannt.
Was kann man dagegen tun?
Prinzipiell müssen die Betreiber der Webseiten mit SSL-Verbindungen neue Zertifikate einrichten, wodurch der Fehler behoben wäre. Wenn man jedoch auf Nummer sicher gehen will, sollte man seine Passwörter für entsprechende Dienste ändern. Viele bekannte und weitverbreitete Dienste wie Facebook, Google und Yahoo haben bisher den Fehler schon behoben, geben jedoch auch an, dass zur zusätzlichen Sicherheit neue Passwörter von den einzelnen Nutzern angelegt werden sollten.
Warum sollte man etwas dagegen tun?
Laut Sicherheitsexperten ist Heartbleed eine der bisher schwersten und größten Sicherheitslücken weltweit. Besonders schwerwiegend ist die Sicherheitslücke dadurch, dass mögliche Angreifer direkt einen Webserver ausspionieren können und jeden einzelnen Nutzer. Da die Angriffe nicht nachverfolgt werden können, ist auch nicht bekannt wie oft und von wem Heartbleed in den vergangenen zwei Jahren genutzt wurde. Mittlerweile gibt es auch Hinweise darauf, dass es über den US-Geheimdienst NSA Hinweise zum Thema Verschlüsselungen gab. Somit ist es möglich, dass die NSA diese Sicherheitslücke genutzt hat um Daten zu stehlen.