Die Sicherheitslücke Heartbleed ist die bisher wohl schwerste ihrer Art. Doch was ist da eigentlich passiert? Wie konnte es passieren und was kann ich als Nutzer machen?
Der vergangene Montag dürfte als schwarzer Montag in die Geschichte des Internets eingehen. Ein Mitarbeiter bei Google hatte eine Sicherheitslücke in der Verschlüsselungs-Software OpenSSL entdeckt. Soweit zunächst nicht ungewöhnlich, Sicherheitslücken gibt es immer wieder und sie lassen sich auch kaum vermeiden. Was den Bug CVE-2014-0160, der auf den deutlich griffigeren Namen Heartbleed getauft wurde, allerdings besonders folgenschwer macht, ist die gewaltige Verbreitung der OpenSSL-Software. Doch warum ist der Bug so schwerwiegend? Wie funktioniert er überhaupt? Und warum ist ein Großteil des Internets betroffen?
Der Bug betrifft die Software OpenSSL – eine Open Source Software, die von sehr vielen Servern eingesetzt wird um Daten zu verschlüsseln. Der Name Heartbleed wurde daraus abgeleitet, dass die Sicherheitslücke die Heartbeat-Funktion betrifft. Über diese Funktion tauschen die Kommunikationspartner Informationen aus um festzustellen, ob das Gegenüber noch aktiv ist. Die Sicherheitslücke ermöglicht es einem Angreifer, bis zu 64 KB Daten aus dem Arbeitsspeicher herauszufischen. Dies scheint zunächst nicht viel und gleicht einem Glücksspiel, da sich die Attacke allerdings beliebig oft wiederholen lässt und im Arbeitsspeicher auch Nutzernamen, Passwörter und Server-Zertifikate befinden, die dadurch abgefangen werden können. Im Web-Comic XKCD wird dies sehr schön und anschaulich beschrieben.
Die OpenSSL-Software erfreut sich so großer Beliebtheit, da sie eine kostenlose und als weitestgehend sichere Verschlüsselungslösung ist. Aus diesen Gründen ist sie nicht nur für viele große Seiten wie Facebook, Google und Yahoo interessant, sondern auch vor allem für kleinere Seiten mit geringem Budget. Aus diesen Gründen wird OpenSSL auf rund zwei Drittel aller Server im Internet eingesetzt. Diese weite Verbreitung macht die Behebung des Fehlers so schwer, was es wiederum für Nutzer extrem kompliziert macht, Sicherheitsvorkehrungen zu ergreifen. Entwarnung kann aber zumindest für Banking-Seiten und ähnliche gegeben werden, diese nutzen fast ausschließlich eigene, komerzielle SSL-Lösungen, die nicht für den Bug anfällig sind.
In einem Blog-Eintrag des TOR-Projekts wurde dazu geraten, das Internet für die nächsten Tage nicht zu nutzen, bis sich die Sache gelegt hat, um die eigenen Daten zu schützen. Auch wenn diese Maßnahme auf den ersten Blick leicht überzogen aber durchaus sinnvoll erscheint, erweist sie sich auf den zweiten Blick leider als wenig wirkungsvoll. Zwar sind die eigenen Daten nun auf Webseiten, die betroffen waren und die Lücke schon geschlossen haben, wieder sicher, allerdings empfiehlt es sich trotzdem auf diesen Seiten die Passwörter zu ändern, da sie bereits vor Bekanntwerden der Lücke abgefangen worden sein können.
Allerdings ist es auch nicht ratsam, aus einer Panik heraus alle Passwörter zu ändern, denn wenn man dies auf einer Seite tut, die die Sicherheitslücke noch nicht gestopft hat, ist nicht nur das alte, sondern auch das neue Passwort in Gefahr. Die Seiten Mashable und Cnet haben Listen erstellt, auf denen Man sehen kann, welche großen Webseiten betroffen waren und welche bereits reagiert haben – diese Übersichten sind allerdings sehr auf amerikanische Dienste fokussiert. Generell kann man also für die großen Seiten, die reagiert haben, Entwarnung geben, auf allen anderen ist aber zur Vorsicht geraten. Und es empfiehlt sich zudem, vor dem nächsten Login nachzuforschen, ob die entsprechende Seite betroffen war und wenn ja, schon reagiert hat.
Leider nicht. Erschwerend kommt zu den bisher ohnehin schon vorhandenen Problemen noch hinzu, dass längst nicht alle Webseitenbetreiber schnell reagieren, oder wenn, nicht in ausreichendem Maß. Einfach nur den Bugfix zu installieren reicht nicht, es müssen auch die auf dem Server genutzten Private Keys und Zertifikate erneuert werden, da diese bereits abgefischt worden sein können. Ob diese Maßnahmen getroffen wurden, ist für den Normalnutzer nur schwer nachzuvollziehen. Man kann höchstens SSL-Tracker nutzen um festzustellen, ob die Zertifikate nach dem Patch datiert wurden. Dies ist zwar ein gewaltiger Aufwand, wenn man sich viel im Netz bewegt, aber die eigenen Daten sollten es einem Wert sein.
Da man nun die meisten Passwörter ohnehin ändern muss, empfiehlt es sich, gleich einige Sicherheitsvorkehrungen zu treffen. So sollte nicht ein Passwort für alle oder zumindest viele Seiten verwendet werden. Außerdem sollten diese Passwörter entsprechend lang und sicher sein. Tools wie KeepPass oder LastPass bieten hier eine einfache Methode sichere Passwörter zu erstellen und diese zu verwalten. Wer lieber den eigenen Kopf als Speicher nutzen will, findet diese Methode vielleicht hilfreich.
Wer darüber hinaus nun Angst hat, dass auch die auf dem eigenen Smartphone befindliche Android-Version von dem Bug betroffen ist, kann beruhigt sein, zumindest solange es sich nicht um Android 4.1.1 handelt. Dies ist nach Angaben von Google die einzige Version, die für den Heartbleed-Bug anfällig ist.
Quelle: Heartbleed.com (via The Verge und Heise)