UPDATE: In einer früheren Version dieses Artikels wurde – basierend auf einer Liste von Github – geschrieben, dass Anwender einer Seite namens HideMyAss von Heartbleed betroffen seien. Ein Sprecher der Seite sagte uns, dass deren Anwender nicht betroffen sind und wir haben daraufhin die Seite von der Liste gelöscht.
UPDATE #2: Der Artikel wurde mit einer Liste der betroffenen Seiten aktualisiert, die ihren Anwendern offiziell empfehlen, das Passwort zu ändern.
Man merkt schnell, dass eine Sicherheitslücke sehr ernst ist, wenn in allen Medien darüber berichtet wird. So verhält es sich auch mit einem Fehler bei der Verschlüsselung in OpenSSL, die den Namen Heartbleed bekommen hat. OpenSSL ist die wohl am weitseten verbreitete Verschlüsselungs-Library im Internet. Wenn das alles recht verwirrend klingt, keine Angst – ich werde das Ganze im folgenden Artikel erklären.
Wenn Sie mit einer Webseite – egal, ob Google, Facebook oder ihrem Online-Banking – eine verschlüsselte Verbindung aufbauen, werden die übertragenen Daten mit dem SSL/TLS-Protokoll verschlüsselt. Viele beliebte Web-Server nutzen dafür die Open-Source-Library OpenSSL. Schon Anfang der Woche haben die OpenSSL-Entwickler einen Patch für einen gefährlichen Fehler veröffentlicht, der in der Implementierung der TLS-Funktion namens „Heartbeat“ zu finden war, und der bis zu 64 kByte des Server-Speichers für Angreifer freigeben kann.
Mit anderen Worten, könnte der Fehler jedem im Internet ermöglichen, den Speicher eines Computers auszulesen, der durch eine fehleranfällige Version der Library geschützt wird. Im schlimmsten Fall könnte dieser kleine Block aus dem Speicher vertrauliche Daten enthalten – Nutzernamen, Passwörter oder sogar private Schlüssel, die vom Server genutzt werden, um die Verbindung verschlüsselt zu halten. Zudem hinterlässt das Ausnutzen der Heartbleed-Lücke keine Spuren, so dass man nicht sicher sagen kann, ob ein Server gehackt wurde und welche Daten gestohlen worden sind.
Doch es gibt auch eine gute Nachricht: Der Fehler in OpenSSL wurde bereits ausgebessert. Die schlechte Nachricht ist allerdings, dass man nicht sicher sein kann, dass die Webseiten und Services, die von Heartbleed betroffen sind, den entsprechenden Patch implementieren. Und noch mehr schlechte Nachrichten: Der Fehler ist sehr einfach auszunutzen und könnte sogar schon seit zwei Jahren existieren. Das bedeutet, dass Sicherheitszertifikate vieler beliebter Webseiten gestohlen worden sein könnten, genau wie vertrauliche Nutzerdaten inklusive Passwörter.
Maßnahmenkatalog für Anwender
Update: Mashable hat eine Liste offizieller PR-Aussagen von betroffenen Seiten veröffentlicht. Um Ihnen Zeit zu sparen, können Sie einfach Ihr Passwort auf den folgenden Seiten ändern: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. Denken Sie daran, auf jeder Seite ein einzigartiges Passwort zu verwenden!
- Prüfen Sie, ob Ihre meistgenutzten Webseiten angreifbar waren. Es gibt Online-Tools mit denen Sie prüfen können, ob die Sicherheitslücke vorhanden ist, doch Sie müssen auch wissen, ob sie vorher schon vorhanden war. Glücklicherweise gibt es eine lange Liste beliebter Webseiten, die auf die Sicherheitslücke geprüft wurden. Gut ist, dass Facebook und Google nicht betroffen sind. Schlecht ist, dass Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px und viele andere die Sicherheitslücke enthielten. Wenn Sie bei einer dieser anfälligen Seiten ein Konto haben, sollten Sie nun handeln.
- Prüfen Sie, ob die Seite immer noch angreifbar ist. Auch dafür gibt es ein einfaches Tool.
- Wenn die Seitenbetreiber den Fehler mit dem Patch beseitigen, müssen sie auch daran denken, die Seitenzertifikate neu auszustellen. Überwachen Sie also die Serverzertifikate und stellen Sie sicher, dass Sie aktuelle verwenden (die nach dem 8. April ausgestellt wurden). Schalten Sie dazu in Ihrem Browser die Zertifikat-Rücknahme-Prüfung ein. Hier am Beispiel der Google-Chrome-Einstellungen:
- Damit verhindern Sie, dass Ihr Browser alte Zertifikate verwendet. Um das Ausgabedatum eines Zertifikats manuell zu prüfen, klicken Sie auf das grüne Schloss in der Adresszeile und dann auf „Information“ im Verbindungen-Reiter:
- Der wichtigste Schritt ist aber, sofort Ihr Passwort zu ändern, wenn auf dem Server der Fehler behoben und das Zertifikat aktualisiert wurde. Nutzen Sie diese Gelegenheit auch gleich dazu, Ihre Passwortregeln zu erneuern und einfach zu merkende, aber dennoch starke Passwörter zu verwenden. Wie gut Ihre Passwörter sind, können Sie mit unseren Password Checker prüfen.