Werbung

Artikel

Verschlüsselung: Mehr als die Hälfte aller Internetseiten betrifft die OpenSSL-Sicherheitslücke Heartbleed

Verschlüsselung: Mehr als die Hälfte aller Internetseiten betrifft die OpenSSL-Sicherheitslücke Heartbleed
Jakob Straub

Jakob Straub

  • Aktualisiert:

Sicherheitsexperten haben eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL ermittelt. Der sogenannte Heartbleed-Fehler betrifft unzählige Web- und Mailserver und Schätzungen zufolge mindestens die Hälfte aller Internetseiten. Server-Administratoren müssen das Problem mit einem Update beheben. Anwender können mit einer Testseite überprüfen, ob die von ihnen genutzten Internetseiten betroffen sind. Derzeit sind Yahoo und flickr gefährdet und haben das Problem noch nicht behoben.

Was ist OpenSSL und der Heartbleed-Fehler?

OpenSSL ist eine weit verbreitete Kryptographie-Bibliothek, die auf Servern zur Verschlüsselung des Datenverkehrs eingesetzt wird. Sicherheitsexperten von Codenomicon haben eine Schwachstelle ausfindig gemacht, über die sich der Arbeitsspeicher des Servers auslesen lässt. Dadurch können Angreifer an die Schlüssel gelangen und den Datenverkehr mitlesen. Somit sind von betroffenen Servern übertragene Daten, E-Mails, Passwörter und Chatnachrichten nicht mehr sicher. Weil der Fehler im sogenannten Heartbeat-Modul von OpenSSL auftritt, tauften ihn die Endecker Heartbleed.

So lassen sich Seiten auf Sicherheit überprüfen

Auf der Internetseite Heartbleed Test können Nutzer eine Internetadresse eingeben und überprüfen, ob diese vom Heartbleed-Fehler betroffen ist. Wegen der großen Nachfrage ist die Seite aber zeitweise überlastet. Die Server-Administratoren müssen betroffene Seiten aktualisieren, Anwender können selbst nur warten. Alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f sind anfällig, Version 1.0.1g behebt den Fehler.Flickr Hearbeet Fehler

So sieht ein Treffer aus: Flickr ist vom Heartbleed-Fehler betroffen.

Yahoo und Flickr betroffen, Posteo hat schon ausgebessert

Aktuell sind Yahoo.com und Flickr.com von der Sicherheitslücke betroffen. Der Heartbleed Test ergibt, dass die Verschlüsselung geknackt werden kann. Das Ergebnis heißt nicht, dass auf die Seiten ein Angriff bereits stattgefunden hat.

Der deutsche E-Mail-Anbieter Posteo hat eine Stellungnahme zum Heartbleed-Fehler veröffentlicht und versichert seinen Nutzern, die Verschlüsselungssoftware bereits aktualisiert zu haben. Zusätzlich hat der Anbieter neue Schlüssel generiert und diese der Zertifizierungsstelle zur Beglaubigung vorgelegt. Wenn diese verfügbar sind, wird Posteo erneut informieren.

Es empfiehlt sich, tatsächlich betroffene Seiten vorerst nicht zu besuchen oder zumindest dort keine vertraulichen Daten einzugeben, bis die entsprechende OpenSSL-Version nachgebessert wurde. Eine kriminelle Ausnutzung des Fehlers ist bisher noch nicht bekannt, allerdings ist es nahezu unmöglich, einen Angriff festzustellen.

Update 08.04.2014 15:15 Uhr: Wie eine Überprüfung mit dem Heartbleed Test zeigt, sind derzeit Yahoo und das zu Yahoo gehörende Foto-Portal Flickr von der Sicherheitslücke betroffen. Posteo hat eine Stellungnahme veröffentlicht und den Fehler breits ausgebessert.

Passende Artikel

Quelle / Bild: Heartbleed

Jakob Straub

Jakob Straub

Das Neueste von Jakob Straub

Editorialrichtlinien