Der "Heartbleed"-Fehler ist eine der schlimmsten Sicherheitslücken, die es je im Internet gab. Durch den Bug in der weit verbreiteten Verschlüsselungs-Software OpenSSL können Angreifer eigentlich private Informationen von ahnungslosen Nutzern mitlesen und für kriminelle Machenschaften missbrauchen. Hacker können nicht nur Passwörter oder Kontodaten abfangen, sondern auch die geheimen Schlüssel von Webservern auslesen, die OpenSSL einsetzen. So können sich Cyberkriminelle etwa als Bank-Webseite tarnen und Kontodaten abfangen, wie ein Test der US-Firma Cloudflare zeigt.
Betreiber von Internetseiten, die OpenSSL einsetzen - geschätzt sind das etwa 50 Prozent aller Webseiten weltweit - sollten umgehend die neueste Version der Software installieren. Außerdem müssen die verwendeten Schlüssel, die dazugehörigen Zertifikate und Passwörter geändert werden. Wer wissen will, ob Anbieter die aktuellsten Zertifikate nutzen, sollte einen Blick in die Browser-Einstellungen werfen.
So überprüfen Sie die Zertifikate
Rufen Sie zunächst die Webseite "Cloudflarechallenge.com" auf. Erhalten Sie eine Fehlermeldung, sind Sie auf der sicheren Seite, denn das verwendete Zertifikat ist bereits widerrufen worden. Wird die Seite jedoch problemlos dargestellt, sollten Sie dringend Ihre Einstellungen anpassen.
Google Chrome:
Neben der Adressleiste finden Sie am rechten, oberen Rand die Browser-Einstellungen (Symbol mit drei waagerechten Strichen). Öffnen Sie dort den Menüpunkt "Erweiterte Einstellungen anzeigen", anschließend scrollen Sie bis zur Rubrik "HTTPS/SSL", wo Sie die Zertifikate verwalten können. Setzen Sie dort einen Haken bei "Serverzertifikate auf Sperrung prüfen".
Mozilla Firefox:
Firefox-Nutzer müssen in den Einstellungen in der Rubrik "Erweitert" den Reiter "Zertifikate" auswählen. Dort gibt es einen Button namens "Validierung". In dem Pop-Up sollte beim Punkt "Das Online-Zertifikatsstatus-Protokoll (OCSP) verwenden, um die aktuelle Gültigkeit von Zertifikaten zu bestätigen" ein Haken gesetzt werden.
Internet Explorer:
User des Microsoft-Browsers wählen in den Einstellungen zunächst den Punkt "Internetoptionen", anschließend den Reiter "Erweitert". Dort scrollen Sie bis zum letzten Punkt "Sicherheit" und setzen einen Haken bei "Auf gesperrte Serverzertifikate überprüfen".
Wichtig: Wenn die Webseitenbetreiber die OpenSSL-Lücke geschlossen und ihre Server auf den neuesten Stand gebracht haben, sollten Sie dringend Ihre Passwörter ändern. Hier finden Sie eine Liste der Webseiten, bei denen das nötig ist.
