OpenSSL-Sicherheitslücke

Heartbleed ist laut BSI keine Gefahr mehr

Die OpenSSL-Sicherheitslücke Heartbleed galt als eine der gravierendsten Schwachstellen des Internets. Das BSI ist nun der Ansicht, die durch Heartbleed ausgegangene Gefahr sei gebannt. Andere Portale sind jedoch nicht der gleichen Meinung.

© heartbleed.com

Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.

Vor rund einem Monat versetzte die SSL-Sicherheitslücke "Heartbleed" Internet-User auf der ganzen Welt in Angst und Schrecken. Auf geschätzt zwei Dritteln aller Internet-Server wurde die fehlerhafte Programmbibliothek OpenSSL 1.0.1 bis 1.0.1f genutzt, welche es einem Angreifer ermöglichte, 64 Kilobyte des Server-Arbeitsspeichers auszulesen - wo mit hoher Sicherheit auch User-Passwörter gespeichert werden.

Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut des Bundesamtes haben die meisten Websites inzwischen reagiert und die Sicherheitslücke serverseitig durch neue Zertifikate geschlossen.

Jedoch sehen das nicht alle Sicherheitsexperten so: Der Dienstleister für Internetsicherheit Erratasec hält immer noch mehr als 300.000 Webseiten für unsicher. Netcraft geht sogar davon aus, dass noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate einsetzen. 

Schuld daran könnte der erhebliche Aufwand sein, der für die Schließung der Heartbleed-Lücke betrieben werden muss. So reicht es nicht, lediglich auf eine neue OpenSSL-Version zu aktualisieren oder die fehlerhafte Software auszutauschen.

Betroffene Internetseiten müssen zusätzlich neue Zertifikate inklusive neuen Schlüsseln erstellen. Anschließend sollten die alten, fehlerhaften Zertifikate zurückgezogen und somit als ungültig deklariert werden. Widerrufene Zertifikate erzeugen in den meisten Browsern keine Warnung. Hat ein Angreifer den SSL-Schlüssel einer Webseite erlangt, bleibt die Gefahr für Man-in-the-Middle-Attacken weiter bestehen.

Mehr zum Thema

Heartbleed

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.
Heartbleed Remover

Aufgepasst: McAfee warnt vor dem Heartbleed Remover. Hacker verschicken E-Mails mit Malware. Der Anhang ist gleichsam sinnlos wie gefährlich.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
WhatsApp, iMessage & Co.

Der britische Premierminister David Cameron will Ende-zu-Ende-Verschlüsselung und damit auch Message-Dienste, wie WhatsApp und iMessage, die diese…
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.