RATGEBER INTERNETKRIMINALITÄT

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Heartbleed

HINWEIS: Dieser Artikel wurde vor über einem Jahr veröffentlicht. Daher kann es sein, dass Links und Bildbeispiele teilweise nicht mehr aktuell sind bzw. von uns oder dem Anbieter entfernt wurden.

Was Sie darüber wissen müssen.


Das Bundesamt für Sicherheit in der Informationstechnik informiert über die Sicherheitslücke „Heartbleed“:

Informationen zu der Sicherheitslücke „Heartbleed“
Was ist der Heartbleed Bug?
Wenn Sie eine Internetseite aufrufen, kommuniziert Ihr Computer mit so genannten Servern. Die Kommunikation läuft in vielen Fällen verschlüsselt ab, zum Beispiel beim Online-Banking oder beim Online-Einkauf. Erkennbar ist eine verschlüsselte Verbindung an dem Symbol im Browserfenster, das ein verriegeltes Schloss darstellt.
Verantwortlich dafür, dass eine sichere, verschlüsselte Verbindung zwischen Ihrem Computer und dem Server besteht, ist eine Software, die sich zumeist auf dem Server befindet. Aber auch Router verwenden diese Software. Eine häufig verwendete Software heißt OpenSSL.
Der „Heartbleed Bug“, über den derzeit in den Medien berichtet wird, ist eine Sicherheitslücke in einer Programmerweiterung von OpenSSL namens „Heartbeat“. Entstanden ist die Sicherheitslücke offenbar durch einen Programmierfehler.

Was für Auswirkungen hat der Heartbleed Bug?
Durch die als „Heartbleed Bug“ bekannt gewordene Sicherheitslücke ist eine mit OpenSSL verschlüsselte Verbindung unter Umständen angreifbar geworden. Online-Kriminelle können durch Ausnutzung dieser Sicherheitslücke zum Beispiel Passwörter oder Kreditkartendaten auslesen. Daten, die eigentlich verschlüsselt und damit uneinsehbar für andere übertragen werden sollten.

Wird der Fehler von Online-Kriminellen ausgenutzt?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Hinweise, dass seit der Nacht auf den 8. April verstärkt Angriffe auf den Port 443 stattfinden. Port 443 kann als Adresse gesehen werden, über die eine verschlüsselte Verbindung aufgebaut wird. Dieses spricht für eine Ausnutzung des Heartbleed Bugs durch Online-Kriminelle.

Wie lange besteht der Fehler schon?
Wie erst jetzt bekannt geworden ist, besteht der Fehler schon seit 2012.

Bin ich betroffen und was muss ich tun?
Es gibt verschiedene Software-Produkte, die für eine verschlüsselte Übertragung von Daten über das Internet sorgen sollen. Die betroffene Software, OpenSSL, ist nur ein mögliches, wenngleich häufig verwendetes Produkt. Aber auch wenn zum Beispiel Ihre Bank oder Ihr E-Mail-Anbieter OpenSSL verwendet, ist damit noch nicht sicher, dass die „Heartbeat“ genannte Erweiterung verwendet wird, oder ob diese ausgeschaltet ist. Denn nur diese Erweiterung enthält die als „Heartbleed Bug“ bekannt gewordene Sicherheitslücke. Es ist also nicht sicher, ob zum Beispiel Ihre Bank oder Ihr E-Mail-Anbieter betroffen sind.

Im Moment können Sie in dieser Hinsicht nichts tun, außer Ihr Passwort bei den Online-Diensten zu ändern, bei denen Sie einen Benutzernamen und ein Passwort angegeben haben. Das können E-Mail-Dienste sein, wie Web.de oder die Online-Seiten Ihrer Bank. Tun Sie das jedoch erst, wenn der jeweilige Betreiber der Dienste die Schwachstelle geschlossen und die Sicherheits-Zertifikate erneuert hat.

Was ist mit den von mir verwendeten Betriebssystemen?
Benutzer der Betriebssysteme von Microsoft oder Apple sind nicht direkt betroffen. Anders sieht es aus bei Benutzern des Betriebssystems Linux. Für viele Linux-Distributionen gibt es bereits Fehlerbehebungen („Updates“), darunter für Debian, Fedora (Red Hat), OpenSuse, Ubuntu und CentOS.

Auch wenn Ihr Mobiltelefon Android in der Version 4.1.1 verwendet, ist dieses betroffen. Im Augenblick (11.04., 16:30 Uhr) gibt es noch keine Fehlerbehebung. Sobald diese vorhanden ist, sollten Sie Android aktualisieren, am besten über die automatische Update-Funktion.

Quelle dieser Nachricht: www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/Heartbleed_11042014.html

Wenn Sie selbst testen möchten, ob ein Server von dem Heartbleed-Bug betroffen ist, können Sie diesen Test über folgende Seite ausprobieren:

filippo.io/Heartbleed/

Auch die Frankfurter Allgemeine Zeitung bietet hier eine gute Übersicht über den Fehler, die Folgen und die zu ergreifenden Maßnahmen.

Update 17.04.2014

Inzwischen informieren immer mehr Internetseitenbetreiber Ihre Kunden und klären über die Sicherheitslücke auf. Webseitenbetreiber, die System inzwischen abgesichert haben fordern die Kunden auf, das bisherige Passwort gegen ein neues Kennwort auszutauschen.

Auch das BSI gibt noch keine Entwarnung. Weitere Infos dazu finden Sie hier.

 

Update Nr. 2

Die Zeitschrift Computerbild bietet einen Test an, in dem Android Nutzer ihre Apps auf die Sicherheitslücke prüfen können. Das Angebot ist hier zu finden.

Scroll to top