OpenSSL-Sicherheitslücke

Heartbleed ist laut BSI keine Gefahr mehr

Die OpenSSL-Sicherheitslücke Heartbleed galt als eine der gravierendsten Schwachstellen des Internets. Das BSI ist nun der Ansicht, die durch Heartbleed ausgegangene Gefahr sei gebannt. Andere Portale sind jedoch nicht der gleichen Meinung.

© heartbleed.com

Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.

Vor rund einem Monat versetzte die SSL-Sicherheitslücke "Heartbleed" Internet-User auf der ganzen Welt in Angst und Schrecken. Auf geschätzt zwei Dritteln aller Internet-Server wurde die fehlerhafte Programmbibliothek OpenSSL 1.0.1 bis 1.0.1f genutzt, welche es einem Angreifer ermöglichte, 64 Kilobyte des Server-Arbeitsspeichers auszulesen - wo mit hoher Sicherheit auch User-Passwörter gespeichert werden.

Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut des Bundesamtes haben die meisten Websites inzwischen reagiert und die Sicherheitslücke serverseitig durch neue Zertifikate geschlossen.

Jedoch sehen das nicht alle Sicherheitsexperten so: Der Dienstleister für Internetsicherheit Erratasec hält immer noch mehr als 300.000 Webseiten für unsicher. Netcraft geht sogar davon aus, dass noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate einsetzen. 

Schuld daran könnte der erhebliche Aufwand sein, der für die Schließung der Heartbleed-Lücke betrieben werden muss. So reicht es nicht, lediglich auf eine neue OpenSSL-Version zu aktualisieren oder die fehlerhafte Software auszutauschen.

Betroffene Internetseiten müssen zusätzlich neue Zertifikate inklusive neuen Schlüsseln erstellen. Anschließend sollten die alten, fehlerhaften Zertifikate zurückgezogen und somit als ungültig deklariert werden. Widerrufene Zertifikate erzeugen in den meisten Browsern keine Warnung. Hat ein Angreifer den SSL-Schlüssel einer Webseite erlangt, bleibt die Gefahr für Man-in-the-Middle-Attacken weiter bestehen.

Mehr zum Thema

WhatsApp, iMessage & Co.

Der britische Premierminister David Cameron will Ende-zu-Ende-Verschlüsselung und damit auch Message-Dienste, wie WhatsApp und iMessage, die diese…
Nach Superfish-Sicherheitslücke

Der Sicherheitsanbieter Comodo vertreibt ein Security-Plugin, das vor gefährlicher Werbung schützen soll. Stattdessen sorgt es jedoch für ein…
Sichere Whatsapp-Alternative

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.
Geschäfte mit Spionage-Lecks

Die für Spionagesoftware bekannte IT-Firma Hacking Team kaufte in großem Stil Infos über neue Sicherheitslücken. Ein E-Mail-Verkehr gibt Einblick in…