Nach wie vor verunsichert der Heartbleed-Fehler Internetnutzer. Welche Internetseiten sind betroffen? Müssen Anwender ihre Passwörter ändern? Wird die Gefahr unnötig hochgespielt? Wir haben Sicherheitsexperten um ihre Ratschläge und Meinungen zur aktuellen Sicherheitslücke gebeten.
Softonic-Sicherheitsexperte Fabrizio Ferri sprach mit Geoffroy Couprie von TextSecure und Lorenzo Martínez Rodríguez von Securízame. Wir haben die Antworten der beiden Sicherheitsexperten zu häufigen Anwender-Fragen bezüglich des Heartbleed-Fehlers zusammengefasst. (Die Hervorhebungen dienen der Betonung wichtiger Punkte und geben unsere Dringlichkeitseinschätzung wieder).
Wird die Heartbleed-Gefahr in den Medien übertrieben oder heruntergespielt?
Couprie: Die Gefahr wird nicht aufgebauscht. Es handelt sich um den seltenen Fall, in dem Sicherheitstechnologie durch ihren Einsatz die Dinge verschlimmert. Aber das Ausmaß des Fehlers wird allgemein unterschätzt. Viele Unternehmen haben fälschlicherweise angenommen, nicht betroffen zu sein.
Rodríguez: Meiner Meinung nach hatte die Presse wenig Einfluss auf einen Fall dieses Ausmaßes. Selbst wenn nur fünf Millionen Server betroffen sind, ist das Auslesen von Teilen des Arbeitsspeichers immer noch eine große Sicherheitslücke, da sensible Daten enthalten sein können. Wir haben gesehen, dass es sogar möglich ist, den privaten Schlüssel eines SSL-Zertifikates zu erlangen. Die OpenSSL-Sicherheitslücke erstreckt sich außerdem auf weitere Geräte wie kommerzielle Router und Firewalls.
Was ist die wirkliche Gefahr für Nutzer beim täglichen Surfen im Internet?
Couprie: Der Angriff auf einen Webserver kann Daten offenbaren, die über den Server liefen. Das können Passwörter, Cookies oder alle möglichen anderen, vertraulichen Informationen sein: Kreditkartennummern, Adressen, Telefonnummern. Was den meisten weniger bewusst ist: Auch Endgeräte können betroffen sein, also iPhones und Android-Smartphones. Hier wurden eventuell ebenfalls vertrauliche Dinge preisgegeben.
Rodríguez: Durch das breite Bekanntwerden des Fehlers und dem Zeitfenster zwischen der Veröffentlichung und dem Schließen der Sicherheitslücke sind unsere Daten bei betroffenen Anbietern als nicht sicher einzustufen.
Haben Sie Ihr Passwort auf vom Heartbleed-Fehler betroffenen Seiten geändert?
Couprie: Ja. Das erfordert zwar Zeit, ist aber notwendig. Gleichzeitig ist es ein guter Moment, um auf einen Passwort-Manager umzusteigen, anstatt überall das selbe Passwort zu verwenden oder zu versuchen, sich zwanzig verschiedene zu merken.
Rodríguez: Natürlich! Mashable hat eine zusammenfassende Liste mit vielen betroffenen Seiten veröffentlicht. Der Heartbleed-Fehler betraf mich aber nicht nur als Nutzer, sondern auch geschäftlich: Wir haben unsere Kunden von Securízame durch den dringend notwendigen Prozess der Reaktion begleitet. Die betroffenen Dienste sind ja nicht nur Internetseiten, sondern auch E-Mail-Server und VPN-Lösungen.
Was halten Sie von den Berichten, dass die NSA den Heartbleed-Fehler für Spionagezwecke ausgenutzt hat?
Couprie: Nicht viel. Es hat keine Zweck, sich über die NSA den Kopf zu zerbrechen, wenn sich der Fehler von jedermann ebenso leicht ausnutzen lässt. Fehler beheben, Anwender in Kenntnis setzen, das Leben geht weiter.
Rodríguez: Wir sind es gewöhnt, uns die NSA als diesen großen Apparat vorzustellen, der über genügend Kapazitäten verfügt, sich das Internet für seine Interessen zunutze zu machen. Daher überrascht mich die Annahme kaum, dass die NSA ihre Finger im Spiel hatte. Wer viele Dienste gleichzeitig kontrollieren will, der greift die Basis dieser Dienste an. Erst vor kurzem habe ich mich skeptisch zu den Sicherheitslücken in Apples GNUTLS-Verschlüsselung geäußert (Artikel auf Spanisch).
Welchen Rat können Sie unseren Lesern geben?
Couprie: Wer auf Online-Dienste angewiesen ist, die bisher noch nicht auf den Heartbleed-Fehler reagiert haben oder ihre Nutzer noch nicht informiert haben, sollte nicht locker lassen, bis die Schwachstelle behoben ist. Oder wechseln Sie zu einem anderen Anbieter. Die Lücke lässt sich schnell schließen – einem Anbieter, der dazu nicht in der Lage ist, sollte man seine Daten nicht anvertrauen.
Rodríguez: Nutzen Sie im Augenblick nur die wichtigsten Dienste, oder solche, die nicht angreifbar sind, entweder weil sie kein OpenSSL verwenden oder den Fehler bereits beseitigt haben. Ändern Sie Ihr Passwort bei Anbietern, nachdem diese OpenSSL auf die fehlerfreie Version aktualisiert haben. Verwenden Sie lange und komplexe Passwörter mithilfe eines Wörterbuchs. Vergeben Sie kein Passwort doppelt, und greifen Sie auf einen Passwort-Manager zurück, wenn Sie sich all die unterschiedlichen Konten nicht merken können. Andere Möglichkeiten, die Sicherheit zu erhöhen, sind die Bestätigung in zwei Schritten und Dienste wie Latch Eleven Paths. Informieren Sie sich in Zukunft über auftretende Sicherheitslücken so schnell wie möglich, um zügig reagieren zu können und das Risiko zu minimieren.
Weiterführende Informationen
Welche bekannten Internetseiten und Anbieter sind oder waren vom Heartbleed-Fehler betroffen? Wir haben eine Übersicht zusammengestellt. Außerdem geben wir ausführliche Informationen, wie Sie Ihre Internetkonten nach der OpenSSL-Sicherheitslücke wieder sicher machen.
Passende Artikel
- Heartbleed: Alles was Sie zur SSL-Sicherheitslücke wissen müssen
- Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten
- Heartbleed: Wie ich meine 14 wichtigsten Passwörter in 19 Minuten änderte
- Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher
- OpenSSL-Sicherheitslücke: Welche Internetseiten betrifft der Heartbleed-Fehler?
- Verschlüsselung: Mehr als die Hälfte aller Internetseiten betrifft die OpenSSL-Sicherheitslücke Heartbleed
