Sicherheitslücke:
Heartbleed: Wie die betroffenen Marken reagieren
Nach der Entdeckung der Schwachstelle in der weit verbreiteten Verschlüsselungs-Software OpenSSL haben sich die großen Internetdienste beeilt, die Sicherheitslücke "Heartbleed" zu schließen. Viele gehen in die Kommunikationsoffensive.
Nach der Entdeckung der Schwachstelle in der weit verbreiteten Verschlüsselungs-Software OpenSSL haben sich die großen Internetdienste beeilt, die Sicherheitslücke "Heartbleed" zu schließen. Andere Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung.
Google gab bekannt, dass unter anderem die Such-Funktion, Gmail, Youtube, Wallet und die Download Plattform Play betroffen waren. Die Sicherheitslücke sei inzwischen geschlossen, teilte das Unternehmen mit und gab den Usern Anleitungen an die Hand, wie sie ihre Accounts sichern können.
Auch Yahoo, das mit mehreren Diensten wie Yahoo.com, Tumblr oder Flickr von der Sicherheitslücke betroffen war, geht offensiv mit dem Thema um und fordert sogar einen "Change your password day".
Gegenüber Heise erklärte Web.de – ebenfalls betroffen – das Unternehmen wolle seinen Kunden empfehlen, die Passwörter zu ändern. Als Web.de-Nutzer konnte man den Dienst aber problemlos nutzen, ohne einen solchen Hinweis zu sehen.
Auch deutsche Banken und Sparkassen schließen Sicherheitslücken in ihren Systemen. Die Deutsche Kreditwirtschaft (DK), die Dachorganisation der Bankenverbände, erklärte am Donnerstag, nach Bekanntwerden der Schwachstelle sei sofort überprüft worden, ob die Geldinstitute betroffen seien. "Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise abgeschlossen worden."
Nach Einschätzung von IT-Sicherheitsexperten könnten hunderttausende Websites betroffen sein. Auch die Netzwerk-Ausrüster Cisco und Juniper entdeckten die Lücke in ihrer Technik. Kunden und Nutzer müssen aber davon ausgehen, dass nicht alle Dienste in diesem Fall den Weg der offenen Kommunikation wählen und sie darüber auch informieren.
SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits abgesicherten Websites die Passwörter wechseln.
"Es könnte die schlimmste Schwachstelle seit der Massen-Verbreitung des Internets sein", sagte der Chef der IT-Sicherheitsfirma CloudFlare, Matthew Prince, dem "Wall Street Journal". Der bekannte Internet-Sicherheitsexperte Bruce Schneier schrieb: "Auf einer Skala von 1 bis 10 ist es eine 11." Ein Netzwerk-Experte sagte dem Technologieblog "Ars Technica", er habe in alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle bereits im November 2013 auszunutzen.
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion "Heartbeat", woraus sich die Bezeichnung "Heartbleed" für die Schwachstelle ableitet.
Kriminelle können so nicht nur vermeintlich geschützte Informationen auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die einer Bank. Der Plan sei eigentlich gewesen, die Schwachstelle ohne großes Aufsehen im Hintergrund dichtzumachen, schrieb das "Wall Street Journal" unter Berufung auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.
Zunächst gab es Spekulationen, der fehlerhafte Code sei im Auftrag von Geheimdiensten geschrieben worden. Inzwischen ist allerdings klar, dass ein deutscher Programmierer hinter der gewaltigen Sicherheitslücke "Heartbleed" steht. In Interviews beteuerte der Informatiker, dass es ein ungewollter Fehler gewesen sei. Er habe sich beim Verbessern der offenen Verschlüsselungssoftware OpenSSL im Programmiercode vertan, erklärte der Mann unter anderem "Spiegel Online".
OpenSSL ist eine offene Software, das heißt, jeder kann den Programmiercode einsehen und weiterentwickeln. Da Änderungen dokumentiert werden, war es nur eine Frage der Zeit, bis entdeckt wurde, wer den fehlerhaften Software-Code vor rund zwei Jahren geschrieben und wer ihn abgesegnet hatte.
"Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", erklärte der Programmierer aus Deutschland er in einer E-Mail an "Spiegel Online". Der Fehler an sich sei "ziemlich trivial" gewesen. Auch ein Prüfer aus Großbritannien hatte den gravierenden Bug übersehen. Der deutsche Programmierer studierte damals noch an einer Fachhochschule, inzwischen arbeitet er für T-Systems. (dpa/fm)
Die Reaktionen auf "Heartbleed" im Storify-Stream:
