Heartbleed

OpenSSL-Lücke betrifft zwei Drittel aller Web-Server

OpenSSL hat mit "Heartbleed" eine gravierende Sicherheitslücke, mit der Angreifer Passwörter oder Zertifikatsschlüssel aus dem Speicher auslesen können.

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

© heartbleed.com

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

Spätestens seit den Snowden-Enthüllungen über die Online-Bespitzelungen durch die NSA und andere Geheimdienste sollte jedem Internet-Nutzer klar sein, wie wichtig eine sichere Verschlüsselung bei der Übertragung vertraulicher Daten ist. Web-Seiten können zum Teil über SSL-verschlüsselte Verbindungen besucht werden, um etwa Anmeldedaten vor Mitlesern im offenen WLAN zu schützen, Mails werden immer häufiger standardmäßig über verschlüsselte Verbindungen abgerufen und verschickt.

In solchen Fällen kommen oft die quelloffenen OpenSSL-Bibliotheken zum Einsatz. Die lange Liste der Server- und Client-Software, die auf OpenSSL setzt, reicht vom Web-Server Apache bis zum Mail-Programm Pegasus Mail für Windows. Mit dem Anfang dieser Woche bereit gestellten Update auf die OpenSSL-Version 1.0.1g hat das OpenSSL-Projekt Informationen über eine gravierende Sicherheitslücke veröffentlicht, die in der neuen Version beseitigt wurde.

Die so genannte "Heartbleed"-Lücke (=Herzbluten) steckt in der Heartbeat-Funktion der OpenSSL-Software. Darüber tauschen die beiden Kommunikationspartner Statusinformationen aus. Die Schwachstelle (CVE-2014-0160) ermöglicht es beiden, bei der Gegenstelle bis zu 64 KB Daten pro Heartbeat aus dem Arbeitsspeicher auszulesen. Darin stecken zum Beispiel private Schlüssel für Server-Zertifikate, Benutzernamen und Passwörter, sowie weitere, verschlüsselt übertragene Daten, etwa zu Banktransaktionen wie Überweisungen.

Ein Angreifer kann ohne gültige Anmeldedaten und ohne gültiges Zertifikat bereits in der Anfangsphase der Kontaktaufnahme (Handshake) eine Heartbeat-Anfrage senden und so vertrauliche Daten auslesen. Mit jeder neuen Heartbeat-Anfrage kann er weiter 64 KB Daten ausspionieren. In den Log-Dateien eines Servers hinterlässt ein solcher Angriff keinerlei Spuren, kann also im Nachhinein nicht festgestellt und vor allem nicht ausgeschlossen werden.

OpenSSL Heartbleed: Wer ist betroffen?

Kurz gesagt: potenziell Jedermann. Vor allem und zuerst müssen Dienstanbieter wie Mail-Provider, Banken, Online-Shops ihre Server-Software aktualisieren, alle Zertifikate Anmeldedaten und Cookies als kompromittiert behandeln und sich neue Zertifikate besorgen. Ist die Vertrauenswürdigkeit der Online-Dienste wieder hergestellt, müssen Endbenutzer neue, korrigierte Software-Versionen installieren und ihre Passwörter ändern.

Die Web-Server Apache und nginx nutzen OpenSSL und laufen auf etwa zwei Drittel der weltweit am Internet hängenden Web-Server. Manche der großen Dienstanbieter wurden vorab informiert und haben ihre Systeme bereits abgesichert, aber bei weitem nicht alle. Die meisten gängigen Linux-Distributionen bieten über ihre Paketmanager bereits Updates an. Die größten Probleme wird es wohl bei kompakten Netzwerkgeräten (Appliances) geben, die ein Firmware-Update vom Hersteller benötigen. Anfällig sind die OpenSSL-Version 1.0.1 bis 1.0.1f sowie 1.0.2-beta1. In OpenSSL 1.0.1g und 1.0.2-beta2 ist der Fehler korrigiert.

Ob die Heartbleed-Lücke bereits für Spionageangriffe ausgenutzt wurde oder wird, ist nicht bekannt. Schon vorsichtshalber sollte davon ausgegangen werden, dass zum Beispiel Geheimdiensten oder auch Online-Kriminellen die Schwachstelle bereits länger bekannt ist. Mittlerweile sind jedenfalls verschiedene Tools verfügbar, um Systeme auf ihre Anfälligkeit zu testen, darunter auch ein Metasploit-Modul.

Mehr zum Thema

Der für die OpenSSL-Lücke verantwortliche Programmierer meldet sich zu Wort.
Heartbleed

Die Heartbleed-Sicherheitslücke in OpenSSL kommt von einem deutschen Programmierer. Im Gespräch gibt der Verantwortliche an, dass es ein Versehen…
Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.
Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Google will seinen E-Mail-Verkehr zu 100 Prozent sicher machen.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
Threema Logo
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Symbolbild: Sicherheit
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.