Berlin/San Francisco. Sicherheitsexperten warnen vor einem fatalen Fehler in der weitverbreiteten Verschlüsselungs-Software OpenSSL. Die Sicherheitslücke "Heartbleed" ermögliche es, Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen, teilte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT am Dienstag mit. Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Fehler als kritisch ein. OpenSSL wird dazu benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Angewendet wird zum Beispiel von E-Mail-Diensten oder beim Online-Banking. Die "Heartbleed" (Herzbluten) getaufte Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen, die OpenSSL einsetzen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden.
Im letztgenannten Fall könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte Fox-IT.
Der Software-Fehler ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde, wie das BSI mitteilte. Die Schwachstelle sei "als kritisch einzustufen". Inzwischen steht eine neue Version des Programms zur Verfügung, das die Sicherheitslücke schließt.
Betreiber von Webservern, die OpenSSL benutzen, sollten "umgehend" auf die neueste Version aktualisieren, erklärte das BSI. Danach sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden. In Internetforen wurde auch Verbrauchern geraten, vorsichtshalber Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern.
Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, ist unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben. Laut heartbleed.com setzt rund die Hälfte aller Webseiten weltweit OpenSSL ein. Es seien aber nicht alle von dem Software-Fehler betroffen. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.
Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet Nutzern, für die anonymes Surfen besonders wichtig ist, sich "die nächsten Tage komplett vom Internet fernzuhalten". Sie sollten abwarten, bis das OpenSSL-Update weite Verbreitung gefunden habe und die Schlüssel und dazu gehörigen Zertifikate ausgetauscht worden seien.
CERT.at ortete für Österreich großes Schadenspotenzial
Ein großes Schadenspotenzial durch die "Heartbleed"-Schwachstelle bei der Verschlüsselungs-Software OpenSSL hat das Computer Emergency Response Team (CERT.at) am Mittwoch für Österreich geortet. "Mindestens 30.000 Server sind betroffen und fünf bis 15 Prozent aller '.at'-Domains", lauteten die ersten Prognosen von "CERT.at"-Mitarbeiter Aaron Kaplan im Gespräch mit der APA.
"Heartbleed" ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und im schlimmsten Fall können dabei heikle Userdaten wie etwa Passwörter ausgespäht werden. Und abgefragt wird laut Kaplan in hohem Ausmaß, nachdem mit sogenannten "Proof of Concept"-Codes auch Laien problemlos die Schwachstelle ausnützen können.
Bei den Angriffen werden zwar nur kleine Datensätze in der Größe von 64 Kilobyte ausgelesen, jedoch können diese beliebig oft wiederholt werden. User sollten ihre Passwörter daher vorsorglich ändern. Der "Heartbleed"-Bug hat es etwa bereits ermöglich, Userdaten von Yahoo-Nutzern abzufragen.
Nachdem die erste fehlerhafte OpenSSL-Version laut bereits am 14. März 2012 veröffentlicht wurde, und nicht bekannt ist, ob die Schwachstelle nicht schon länger bekannt war und ausgenutzt wird, lässt sich das Ausmaß von "Heartbleed"-generierten Schäden nicht abschätzen.
