HOME

Verschlüsselungs-Software: Lücke in OpenSSL ermöglicht Datenklau

In einer populären Verschlüsselungs-Software ist ein gravierender Fehler aufgetaucht. Ein Update soll das Leck stopfen, macht das System OpenSSL aber nicht endgültig dicht.

Die weit verbreitete Verschlüsselungs-Software OpenSSL, die Online-Kommunikation schützen soll, weist eine schwerwiegende Sicherheitslücke auf. Die Schwachstelle ermöglicht es Angreifern, Informationen auszulesen und Kommunikation abzugreifen. Dazu zählen auch die technischen Schlüssel von Nutzern, die deren Kommunikation eigentlich absichern sollen. SSL wird benutzt, um Informationen auf dem Weg durchs Web zu schützen, etwa Passwörter oder die Inhalte von E-Mails.

Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern "Heartbleed" genannt, weil er Informationen "ausblutet". Die Schwachstelle "erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben", schrieben die Entdecker. Das Bundesamt für Sicherheit in der Informationstechnik, das Internetnutzer in Deutschland vor Schadsoftware warnen soll, stuft die Schwachstelle als kritisch ein.

"Gau für Verschlüsselung im Web"

Besonders schwerwiegend: Angreifer können damit die privaten Schlüssel auslesen, mit denen Informationen geschützt werden. "Das sind die Kronjuwelen", warnten die Sicherheitsexperten von Google und Codenomicon, die den Bug entdeckten. Wer sie habe, könne eigentlich verschlüsselte Informationen entziffern. Der Fachdienst Heise sprach von einem "Gau für Verschlüsselung im Web". Damit könnten Angreifer aller Art es leichter haben, Daten abzufischen.

Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter nutzen SSL-Verschlüsselung. OpenSSL sei einer der am meisten genutzten Bausteine oder "Bibliotheken" dafür, sagte Falk Garbsch vom Chaos Computer Club der dpa. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.

Auch der US-Geheimdienst NSA hat laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt.

Der Fehler setzt am Anfang einer Verbindung mit einem Webdienst an. Dann tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Wer die Schwachstelle ausnutzt, kann einen Webserver dazu bringen, mehr Informationen preiszugeben als eigentlich vorgesehen, sagte Garbsch.

Dazu zähle auch eben jener private Schlüssel eines Nutzers, der eigentlich "ganz dringend geheim gehalten werden muss". "Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird", sagte Garbsch. So könne ein Angreifer beispielsweise Passwörter stehlen.

Update-Version schließt Einfallstor für Angreifer nicht komplett

OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. "Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah diese Update durchführen", sagte Garbsch.

Doch auch das schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das BSI rät daher Betreiber von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen. Auch die Sicherheitsexerten des Portals golem.de kommen zu diesem Schluss: "Da sich der Angriff nicht feststellen lässt, ist es möglicherweise ratsam, vorsorglich alle TLS-Zertifikate auszutauschen und sie durch neue Zertifikate mit neuen privaten Schlüsseln zu ersetzen."

Wie ein so schwerwiegender Fehler in eine weit verbreitete Software kommen konnte, ist unklar. "Ob das darauf zurückzuführen ist, dass jemand absichtlich manipuliert hat, ist schwer zu sagen", meinte Garbsch. "Auszuschließen ist das nicht." OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.

DPA / DPA
Wie lange ist die frist bei einer Kündigung?
Hallo Ich möchte gerne kündigen, da das Arbeitsverhältnis nicht mehr gegeben ist. Leider verstehe ich den Arbeitsvertrag nicht ganz. Auszug aus dem Vertrag: Paragraf 13 Kündigungsfristen: (1) das Arbeitsverhältnis kann beiderseitig unter Einhaltung einer frist von 6 Werktagen gekündigt werden. Nach sechsmonatiger Dauer des Arbeitsverhältnisses oder nach Übernahme aus einem Berufsausbildungsverhältnis kann beiderseitig mit einer frist von zwölf Werktagen gekündigt werde. (2) Die Kündigungsfrist für den Arbeitgeber erhöht sich, wenn das Arbeitsverhältnis in demselben Betrieb oder unternehmen 3jahre bestanden hat, auf 1 monat zum Monatsende 5jahre bestanden hat, auf 2 monate zum Monatsende 8jahre bestanden hat, auf 3 monate zum Monatsende..... (3) Kündigt der Arbeitgeber das Arbeitsverhältnis mit dem Arbeitnehmer, ist er bei bestehenden Schutzwürdiger Interessen befugt, den Arbeitnehmer unter fortzahlung seiner bezüge und unter Anrechnung noch bestehender Urlaubsansprüche freizustellen. Als Schutzwürdige interessen gelten zb. Der begründete Verdacht des Verstoßes gegen die Verschwiegenheitspflicht des Arbeitnehmers, ansteckende Krankheiten und der begründete verdacht einer strafbaren handlung. Ich arbeite in einem Kleinbetrieb (2mann plus chef) seid 2 jahren und 3-4Monaten. (Bau) Seid ende November bin ich krank geschrieben. Was meinem chef überhaupt nicht passt und er mich mehrfach versucht hat zu überreden arbeiten zu kommen. Da mein zeh gebrochen ist und angeschwollen sowie schmerzhaft und ich keine geschlossenen schuhe tragen kann ist arbeiten nicht möglich. Das Arbeitsverhältnis ist seid längerem angespannt vorallem mit dem Arbeitskollegen. Möchte nur noch da weg! Wie lange ist nun die frist und wie weitere vorgehen? Ich hoffe es kann mir jemand helfen.