Finstere Zeiten für OpenSSL
Auch wenn der Name eher nach einem Album-Titel von Slayer klingt, so hat Heartbleed doch eigentlich mit einer gefährlichen Sicherheitslücke in OpenSSL zu tun. Die Open-Source-Verschlüsselungs-Library OpenSSL ist fast überall zu finden – wahrscheinlich auf zwei Drittel aller Internetseiten. Diese Seiten nutzen OpenSSL für die Implementierung sicherer SSL- und TLS-verschlüsselter Verbindungen. TLS und sein Vorgänger SSL sind Verschlüsselungsprotokolle, die die sicherer Online-Kommunikation ermöglichen.
Angriffe über die Heartbleed-Sicherheitslücke, die laut verschiedener Berichte sehr leicht ausnutzbar und sehr schwer zu entdecken ist, könnten für alle Internet-Anwender ernste Konsequenzen haben. Wird der Fehler erfolgreich missbraucht, könnten dadurch Zertifikatsschlüssel, Nutzernamen und Passwörter, sowie eine Vielzahl weiterer vertraulicher Daten für die Angreifer offengelegt werden.
Heartbleed ging Anfang der Woche durch die Presse, nachdem OpenSSL den Patch für die Sicherheitslücke angekündigt hatte. Seitdem ist die Gefährlichkeit von Heartbleed bekannt und jeder in der Security-Branche redet nur noch darüber. Wenn Sie bedenken, was wir derzeit über Heartbleed wissen, möchten Sie vielleicht gleich einen digitalen Frühjahrsputz machen – vor allem in Bezug auf Ihre Passwörter. Sie sollten daher auf jeden Fall unsere Heartbleed-Anleitung lesen. Darin erklären wir das eigentlich sehr komplizierte Problem, das Heartbleed darstellt. Zudem finden Sie darin Informationen dazu, wer für die Sicherheitslücke anfällig ist oder war, und wir geben Tipps, wie Sie sich verhalten sollten.
Wenn Sie sich auch ganz allgemein für Verschlüsselung interessieren (oder von dem Thema verwirrt sind), finden Sie in unserem Artikel zu Hash-Funktionen viele Erklärungen. Das hat zwar nicht direkt mit dem OpenSSL-Problem zu tun, aber es schadet nie, wenn man sein Verschlüsselungsvokabular hin und wieder auffrischt.
Das Ende eine Ära
Wenn Sie mich vor einer Woche gefragt hätten, was in der letzten Woche wichtig werden würde, hätte ich Ihnen gesagt, dass es ausschließlich um das Ende des Supports von Windows XP gehen wird. Am 8. April veröffentlichte Microsoft den letzten Security-Patch für das Betriebssystem und beendet damit den 12 Jahre langen Support für Windows XP. Es war schon lange bekannt, dass der Patch vom April 2014 der letzte für XP sein würde.
Das Problem dabei ist, dass XP immer noch ein wichtiges Betriebssystem ist. Es ist nach wie vor auf Computern in Arztpraxen und Krankenhäusern, auf Kassensystemen in Kaufhäusern und in Geldautomaten zu finden. Windows XP ist zudem das zugrundeliegende Betriebssystem für eine unbekannte Zahl eingebetteter Geräte und vielleicht arbeiten auch Sie noch täglich mit dem Betriebssystem. Erst kürzlich habe ich von Schätzungen gelesen, die den Marktanteil von Windows XP zwischen 18 Prozent und 28 Prozent einschätzen. Machen wir uns also nichts vor, Windows XP verschwindet nicht so schnell. Das Ende des Supports bedeutet allerdings, dass neu entdeckte Sicherheitslücken nicht mehr geschlossen werden.
Ausführliche Informationen zu diesem Thema finden Sie in unserem Artikel zur Geschichte und Zukunft von Windows XP, das vor gar nicht so langer Zeit das meistverbreitete Betriebssystem der Welt war.
Weitere Nachrichten
Bei den Nachrichten zu Hearbleed und Windows XP ist es etwas untergegangen, dass Google in der letzten Woche einen großen, erstmaligen Schritt in Richtung Anwendersicherheit gegangen ist. Das Unternehmen hat die Sicherheit des mobilen Betriebssystems Android mit einer Funktion gestärkt, die laufend Apps überwacht, um sicherzustellen, dass diese keine schädlichen Aktionen ausführen oder mit unerwünschten Aktionen die ihnen zugestandenen Befugnisse überschreiten.
Die bisher existierenden Systeme Bouncer und Verify Apps prüfen Googles Play Store und warnen den Anwender, wenn ein potentielles Problem mit einer App auftaucht, die er installieren möchte. In manchen Fällen blockiert Google die Installation solcher Apps auch direkt. Die neue Funktion geht aber sogar noch einen Schritt weiter und überwacht auch die bereits installierten Apps, um den Anwender vor Updates zu schützen, die vielleicht schädliche oder unerwünschte Funktionen zu den Apps hinzufügen. Zusammengenommen dämmen diese Maßnahmen das Problem schädlicher Android-Apps, die im Play Store auftauchen, ein.