OpenSSL-Sicherheitslücke

Heartbleed ist laut BSI keine Gefahr mehr

Die OpenSSL-Sicherheitslücke Heartbleed galt als eine der gravierendsten Schwachstellen des Internets. Das BSI ist nun der Ansicht, die durch Heartbleed ausgegangene Gefahr sei gebannt. Andere Portale sind jedoch nicht der gleichen Meinung.

Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.

© heartbleed.com

Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.

Vor rund einem Monat versetzte die SSL-Sicherheitslücke "Heartbleed" Internet-User auf der ganzen Welt in Angst und Schrecken. Auf geschätzt zwei Dritteln aller Internet-Server wurde die fehlerhafte Programmbibliothek OpenSSL 1.0.1 bis 1.0.1f genutzt, welche es einem Angreifer ermöglichte, 64 Kilobyte des Server-Arbeitsspeichers auszulesen - wo mit hoher Sicherheit auch User-Passwörter gespeichert werden.

Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut des Bundesamtes haben die meisten Websites inzwischen reagiert und die Sicherheitslücke serverseitig durch neue Zertifikate geschlossen.

Jedoch sehen das nicht alle Sicherheitsexperten so: Der Dienstleister für Internetsicherheit Erratasec hält immer noch mehr als 300.000 Webseiten für unsicher. Netcraft geht sogar davon aus, dass noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate einsetzen. 

Schuld daran könnte der erhebliche Aufwand sein, der für die Schließung der Heartbleed-Lücke betrieben werden muss. So reicht es nicht, lediglich auf eine neue OpenSSL-Version zu aktualisieren oder die fehlerhafte Software auszutauschen.

Betroffene Internetseiten müssen zusätzlich neue Zertifikate inklusive neuen Schlüsseln erstellen. Anschließend sollten die alten, fehlerhaften Zertifikate zurückgezogen und somit als ungültig deklariert werden. Widerrufene Zertifikate erzeugen in den meisten Browsern keine Warnung. Hat ein Angreifer den SSL-Schlüssel einer Webseite erlangt, bleibt die Gefahr für Man-in-the-Middle-Attacken weiter bestehen.

Mehr zum Thema

Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.
Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Mit dem Heartbleed Remover machen Hacker Jagd auf ahnungslose Nutzer.
Heartbleed Remover

Aufgepasst: McAfee warnt vor dem Heartbleed Remover. Hacker verschicken E-Mails mit Malware. Der Anhang ist gleichsam sinnlos wie gefährlich.
Google will seinen E-Mail-Verkehr zu 100 Prozent sicher machen.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
David Cameron
WhatsApp, iMessage & Co.

Der britische Premierminister David Cameron will Ende-zu-Ende-Verschlüsselung und damit auch Message-Dienste, wie WhatsApp und iMessage, die diese…
Symbolbild: Sicherheit
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.