Super-GAU im Internet

Eine gigantische Sicherheitslücke klafft im Internet und gefährdet Milliarden Nutzer. Die wahren Folgen sind derzeit kaum absehbar.

Es ist, als hätte das Internet einen Geburtsfehler, dessen Ausmaße zur schwersten Sicherheitslücke in der Geschichte des World Wide Web führen: "Heartbleed" tauften Experten die Schwachstelle in einem der wichtigsten Programme zum Schutz von Daten. Das Netz blutet - und das schon lange: Mindestens seit zwei Jahren klafft die Lücke in der Verschlüsselungs-Software "OpenSSL", durch die private Daten für Angreifer zu einem offenen Buch werden.

Die Ausmaße dieser Lücke werden erst langsam absehbar: Fast alle Webseiten, auf denen Nutzerdaten verschlüsselt übertragen werden, verlassen sich auf die vermeintliche sichere Technik, mehr als einer halben Million Seiten dürfte betroffen sein.

Von Google bis Facebook

Die "Riesen" des Netzes sind daher mehr als beunruhigt, so waren etwa Google-Dienste wie Gmail oder YouTube ebenso betroffen wie Facebook, Twitter und Online-Banking-Dienste. Per Update des Webseiten-Betreibers lässt die sich Lücke zwar beheben, einmal geknackte Passwörter sind deshalb aber weiter unsicher. Nutzer sollten daher bei betroffenen Seiten dringend ihre Passwörter ändern.

Während Finanzämter, Kommunikations-Dienste und Cloud-Anbieter nachrüsten, bleibt die Ungewissheit. Das Problem von "Heartbleed" ist die Vergangenheit: Wer wusste von dem Fehler - und nutzte ihn aus? Auch wer seit der NSA-Affäre auf die mathematische Sicherheit komplexer Verschlüsselung setzte, wird nun eines Besseren belehrt: Kein noch so aufwendiges digitales Schloss ist sicher, wenn ein Angreifer es nicht knacken muss - weil er den Schlüssel schon hat.

Fragen und Antworten

Was ist "Heartbleed?

Eigentlich soll die Verschlüsselungs-Software "OpenSSL" Daten wie Passwörter oder E-Mails auf ihrem Weg durch das Internet schützen. Geknackt wurde ein Hintergrund-Programm, das Daten hin und her sendet, um zu prüfen ob beide Seiten noch online sind. Diese Funktion nennt sich "Heartbeat", daher der abgeleitete Name.

Ist das der Internet-Super-Gau?

Der Super-GAU ist ein leider sehr wahrscheinliches Szenario: Selbst, wenn alle Anbieter schnell nachbessern - die Lücke bestand mindestens seit dem 12. März 2012, bis heute gestohlene Daten bleiben in den Händen der Diebe. Zudem überprüfen viele Dienste erst, ob sie betroffen sind - das volle Ausmaß ist derzeit kaum abschätzbar.

Welche Passwörter muss man ändern?

Zahlreiche Seiten raten schon zum Passwort-Wechsel, weil der Fehler bereits behoben wurde, darunter etwa Facebook, Twitter, Yahoo und Dropbox (siehe oben). Google teilte mit, den Fehler auch so beheben zu können - trotzdem raten Experten zu einem neuen Passwort. Achten Sie auf Mitteilungen aller Seiten, die Sie nutzen.

Kann ich herausfinden, welche Seiten betroffen sind?

Ja. Ein italienischer Programmierer namens Filippo Valsorda reagierte am schnellsten und stellte eine Seite ins Netz, über die man einfach testen kann, ob eine bestimmte Internetseite oder etwa ein Mail-Anbieter betroffen ist: Geben Sie einfach die Internet-Adresse in das Suchfenster ein.

Was können die Angreifer mit den Daten anfangen?

Wer den Schlüssel zu an sich privaten Informationen besitzt, kann die Kommunikation mitlesen. Auch sensible Daten aus dem Arbeitsspeicher können gestohlen werden, zudem können sich Angreifer als andere Seiten ausgeben - etwa eine Bank. Zudem scheint möglich, dass auch die NSA von dem Fehler wusste und ihn ausnutzte.

Sind auch österreichische Seiten betroffen?

Ja. "Mindestens 30.000 Server sind betroffen und 15 Prozent aller '.at'-Adressen", so das Computer Emergency Response Team (cert.at). Auch die Hacker-Aktivisten von "AnonAustria" nutzten die Lücke, um bei der Erste Bank, dem Justizministerium und den Wiener Linien einzudringen. Die Fehler seien aber mittlerweile behoben.
SEBASTIAN KRAUSE



Unsere Seite ist davon nicht betroffen.

Unsere Seite ist davon nicht betroffen.

Die wird ja sowieso von der NSA überwacht!   

Ja klar die heiklen Geheiminformationen, die es bei uns gibt sind ein gefundenes Fressen für die NSA   

Spaß beiseite:

Ich empfehle Euch eure Passwörter bei allen Seiten die mit https:// beginnen zu ändern.

... dass die Überwachung des Forums nicht die NSA, sondern die hiesige HSA (= Holding Security Agency) besorgt.

Das wäre aber grundsätzlich eh positiv zu bewerten!