Über 600.000 Webseiten, darunter unter anderem Facebook, Google und Yahoo, sind vom Heartbleed-Bug betroffen, einer der bisher größten Sicherheitslücken.
Die OpenSSL-Sicherheitslücke Heartbleed-Bug betrifft wohl mehr als 600.000 Internetseiten, unter anderem auch Google, Facebook und Yahoo. Der Schuldige an einer der bisher größten Sicherheitslücke ist anscheinend ein Deutscher. Das Fatale an dieser immensen Sicherheitslücke ist, dass diese bereits seit 2012 besteht, wie nun erst bekannt wurde.
Linux und Android 4.1.1 direkt betroffen
Anwender, die das Betriebssystem Linux nutzen, sind direkt vom Heartbleed-Bug betroffen. Für einige Linux-Distributionen, darunter Ubuntu, CentOS, Debian, OpenSuse und Fedora (Red Hat) stehen bereits Updates mit Fehlerbehebungen zur Verfügung.
Smartphones mit der Android-Version 4.1.1 sind ebenfalls direkt betroffen. Bis zum 11. April 2014 stand hierfür noch keine Fehlerbehebung zur Verfügung. Sobald diese verfügbar ist, sollten User eine Aktualisierung von Android durchführen, beispielsweise durch ein automatisches Update.
Nutzer von Betriebssystemen von Apple oder Microsoft sind dagegen nicht direkt von der OpenSSL-Sicherheitslücke Heartbleed betroffen.
Funktion der Sicherheitslücke Heartbleed-Bug
Bei dem Heartbleed-Bug handelt es sich um eine Sicherheitslücke in der OpenSSL-Programmerweiterung Heartbeat und entstand anscheinend durch einen Programmierfehler. Beim Aufrufen einer Webseite kommunizieren PC, Laptop, Tablet oder Smartphone mit Servern, diese Kommunikation erfolgt häufig verschlüsselt, beispielsweise beim Online-Shopping oder im Online-Banking. Ob eine verschlüsselte Kommunikation erfolgt, erkennen die User an der Anzeige eines verriegelten Schlosses im Browserfenster.
Um eine sichere und verschlüsselte Kommunikation zwischen Computer und Server zu ermöglichen, wird eine Software benötigt, häufig handelt es sich dabei um OpenSSL. Diese befindet sich in der Regel auf dem Server, doch auch von Routern wird OpenSSL verwendet. Die Sicherheitslücke, die als Heartbleed Bug bekannt wurde, macht diese verschlüsselten Verbindungen möglicherweise angreifbar.
Cyberkriminelle können die Sicherheitslücke zum Datendiebstahl nutzen
Für Online-Kriminelle bietet der Heartbleed-Bug die Möglichkeit, Passwörter oder Kreditkartendaten auszulesen und diese eigentlich verschlüsselten Daten zu verwenden. Den Angaben des BSI – Bundesamt für Sicherheit in der Informationstechnik – zufolge werden seit der Nacht auf den 8. April 2014 vermehrt Angriffe auf den Port 443 verzeichnet. Beim Port 443 handelt es sich um eine Adresse, über die verschlüsselte Verbindungen erfolgen, daher wird davon ausgegangen, dass Cyberkriminelle die OpenSSL-Sicherheitslücke durch den Heartbleed-Bug nutzen.
Können sich Internet-User vor der Sicherheitslücke schützen?
OpenSSL ist eine häufig verwendete Software für verschlüsselte Datenübertragungen. Doch ob die Programmerweiterung Heartbeat, die vom Heartbleed-Bug betroffen ist, von der Bank oder dem Mailanbieter verwendet wird oder ob diese ausgeschaltet ist, kann nicht so einfach festgestellt werden.
PC- bzw. Internet-Nutzer können sich nur schützen, indem die Passwörter bei den verschiedenen Online-Diensten, wie Banken oder Mail-Diensten, geändert werden. Allerdings ist die Änderung der Passwörter erst sinnvoll, sobald die OpenSSL-Sicherheitslücke von den Seitenbetreibern geschlossen wurde und die Sicherheits-Zertifikate erneuert wurden, ansonsten können Online-Kriminelle die Änderungen sofort auslesen.