Wien (fez). Aus einer Lücke wird ein veritables Loch. "Heartbleed", Herzbluten, wurde das Sicherheitsproblem getauft, das seit einer Woche weltweit Schlagzeilen macht. Die weit verbreitete Verschlüsselungs-Software OpenSSL, mit der vom einfachen Passwort-Transfer bis zum komplexen Online-Banking sensible Internet-Operationen geschützt werden, enthielt einen fatalen Fehler. Angreifer konnten theoretisch jederzeit auf heikle Informationen zugreifen.

Mittlerweile gibt es einen Patch, aber er ist längst noch nicht auf allen Servern installiert. Deshalb wird die Lücke in einer unbekannten Zahl von Fällen vermutlich immer noch praktisch ausgenutzt, und ein mittlerweile erkanntes Problem könnte sich jetzt erst recht zu einem Daten-Gau auswachsen.


Links
Mashable-Liste
Heartbleed-Schwachstellen-Scanner
Hartbleed-Test
FAQ des CERT
The Hartbleed Bug
wienerzeitung.at ist nicht verantwortlich für die Inhalte externer Internetseiten.

100.000 Installationen betroffen
Die fehlerhafte Software war auf etwa 40 Prozent der in Österreich laufenden Apache-Webserver installiert – das sind mehr als 100.000 Installationen. Laut ARGE Daten sind immer noch "einige tausend Webserver" betroffen.

Eine vertrauliche Stichprobenüberprüfung durch eine IT-Sicherheitsfirma am Wochenende zeigte überdies, dass auch auf einigen hundert Servern von Behörden, Bundes- und Landesstellen immer noch die alte, fehlerbehaftete OpenSSL-Software läuft. Auch zahlreiche Gemeinden würden mit unsicheren Serverinstallationen "glänzen". Auffällig sei der hohe Anteil von Servern aus dem öffentlichen Schul- und Bildungswesen.

User müssen verständigt werden
Die Datenschützer weisen darauf hin, dass betroffene Nutzer laut Gesetz durch den Serverbetreiber über die Lücke verständigt werden müssen. "Das absolute Minimum an Informationspflicht ist die Bekanntgabe der Lücke auf der jeweiligen Website des Betreibers. Wenn Benutzer nur selten eine Website nutzen oder wo besonders hoher Schaden droht, ist zusätzlich eine direkte Verständigung der Betroffenen erforderlich", so Hans Zeger, Obmann der ARGE Daten.

Pflicht zur Beseitigung der Lücke
Außerdem besteht die Pflicht zur unverzüglichen Beseitigung der Lücke. Im konkreten Fall ist die Schwachstelle relativ einfach zu beheben, daher müsse sie laut Zeger auch innerhalb eines Tages geschlossen werden.

Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen. Laut ARGE Daten drohen Betreibern, die nicht unverzüglich reagieren, neben Schadenersatz auch Verwaltungsstrafen.

Passwörter austauschen
"Es gibt nichts, was man als normaler Anwender auf seinem PC tun kann, um die Lücke zu schließen", so Mikko Hypponen von F-Secure. Man kann nur - und soll es auch - das Passwort wechseln. Das setzt allerdings voraus, dass der Webserver, auf dem es verwendet wird, auf dem neuesten Stand ist. Sonst besteht die Gefahr, dass auch das neue Passwort wieder ausgelesen wird. Einige Webseiten haben sofort nach Bekanntwerden von Heartbleed dazu aufgerufen, das Passwort zu ändern.

Schwachstellen-Scanner
Wie schnell sich Datendiebe die Lücke zunutze machen können, musste die kanadische Finanzbehörde erfahren. Sie nahm ihre Server für die Online-Steuererklärung sofort vom Netz, nachdem der Fehler in der OpenSSL-Bibliothek bekannt geworden war. Doch da hatten Unbekannte bereits einen Satz Sozialversicherungsnummern entwendet.

Im Internet kursieren Listen, die auf betroffene Webseiten hinweisen, etwa die des US-Technologiemagazin Mashable. Auf der Mashable-Liste ist auch zu sehen, ob eine Passwort-Änderung für einen bestimmten Online-Dienst nötig ist und was die Hersteller empfehlen. Die Liste ist aber bei weitem nicht vollständig.

Eine weitere Prüfmöglichkeit bietet der Antivirensoftware-Hersteller McAffee an: Anwender können online einen Heartbleed-Schwachstellen-Scanner nutzen, der unter http://www.mcafee.com/heartbleed zu finden ist.

Auch das CERT - Österreichs Netzfeuerwehr - hat eine ausführliche FAQ veröffentlicht, die detailliert auf die Heartbleed-Lücke eingeht.

McAfee rechnet damit, dass in den nächsten Tagen betroffene Internet-Anbieter eine Flut von E-Mail-Warnungen aussenden werden. In den Mailboxen der User dürften sich freilich auch wieder Phishing-Mails ansammeln, die auf herkömmliche Weise auf die Account-Daten der Nutzer abzielen.