HOME

Gravierende Sicherheitslücke: Was der "Heartbleed"-Fehler für User bedeutet

IT-Experten warnen: Im Verschlüsselungsprogramm OpenSSL ist ein gravierender Fehler aufgetaucht. Login-Daten und Passwörter können geklaut werden. Die wichtigsten Fragen und Antworten zum Thema.

"Heartbleed": Das blutende Herz steht für eine gravierende Lücke in der Sicherheitssofrtware OpenSSL

"Heartbleed": Das blutende Herz steht für eine gravierende Lücke in der Sicherheitssofrtware OpenSSL

Sicherheitsexperten warnen derzeit vor einem #link;2102152;fatalen Fehler# in der weit verbreiteten Verschlüsselungs-Software OpenSSL. Die Sicherheitslücke ermögliche es Angreifern, weltweit Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen, teilte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT am Dienstag mit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte mit, der Fehler sei "als kritisch einzustufen. Aber was genau steckt hinter der Sicherheitslücke mit dem Namen "Heartbleed"? stern.de beantwortet die wichtigsten Fragen:

Was ist OpenSSL?

OpenSSL ist ein Programm, das dazu benutzt wird, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Angewendet wird es zum Beispiel von E-Mail-Diensten und Chatprogrammen oder beim Online-Banking. Die Software ist eines der am meisten genutzten Verschlüsselungsprogramme weltweit.

Wo liegt das Problem?

Die Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen, die OpenSSL einsetzen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden. Im zweiten Fall könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte Fox-IT. Der Fehler ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde. Inzwischen steht eine neue Version des Programms zur Verfügung, das die Sicherheitslücke schließt.

Wer ist betroffen?

Betreiber von Webservern und Internetseiten, die OpenSSL einsetzen. Schätzungen zufolge sind das etwa 50 Prozent aller Webseiten weltweit. Und natürlich die Nutzer dieser Angebote. Ihre Daten, die eigentlich verschlüsselt übertragen werden sollten - zum Beispiel Passwörter - können mit Hilfe des "Heartbleed"-Fehlers gestohlen werden.

Wie kann man sich schützen?

Betreiber von Webservern, die OpenSSL benutzen, sollten "umgehend" auf die neueste Version aktualisieren, erklärte das BSI. Danach sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden. Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet seinen Nutzern sogar, sich "die nächsten Tage komplett vom Internet fernzuhalten". Privatnutzern wurde in Internetforen außerdem geraten, vorsichtshalber ihre Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern. Mehr können sie derzeit nicht tun.

Warum "Heartbleed"?

Der Name geht auf eine OpenSSl-Funktion namens "Heartbeat" zurück. Sie soll eigentlich verschlüsselte Verbindung über eine längere Zeit aufrecht erhalten. Durch einen Fehler sorgt sie nun jedoch dafür, dass der Server informationstechnisch regelrecht "ausblutet".

tim/AFP/AFP

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.