OpenSSL-Sicherheitslücke

Heartbleed ist laut BSI keine Gefahr mehr

Die OpenSSL-Sicherheitslücke Heartbleed galt als eine der gravierendsten Schwachstellen des Internets. Das BSI ist nun der Ansicht, die durch Heartbleed ausgegangene Gefahr sei gebannt. Andere Portale sind jedoch nicht der gleichen Meinung.

News
VG Wort Pixel
Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.
Heartbleed galt als eine der gravierendsten Schwachstellen im Internet.
© heartbleed.com

Vor rund einem Monat versetzte die SSL-Sicherheitslücke "Heartbleed" Internet-User auf der ganzen Welt in Angst und Schrecken. Auf geschätzt zwei Dritteln aller Internet-Server wurde die fehlerhafte Programmbibliothek OpenSSL 1.0.1 bis 1.0.1f genutzt, welche es einem Angreifer ermöglichte, 64 Kilobyte des Server-Arbeitsspeichers auszulesen - wo mit hoher Sicherheit auch User-Passwörter gespeichert werden.

Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut des Bundesamtes haben die meisten Websites inzwischen reagiert und die Sicherheitslücke serverseitig durch neue Zertifikate geschlossen.

Jedoch sehen das nicht alle Sicherheitsexperten so: Der Dienstleister für Internetsicherheit Erratasec hält immer noch mehr als 300.000 Webseiten für unsicher. Netcraft geht sogar davon aus, dass noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate einsetzen. 

Schuld daran könnte der erhebliche Aufwand sein, der für die Schließung der Heartbleed-Lücke betrieben werden muss. So reicht es nicht, lediglich auf eine neue OpenSSL-Version zu aktualisieren oder die fehlerhafte Software auszutauschen.

Betroffene Internetseiten müssen zusätzlich neue Zertifikate inklusive neuen Schlüsseln erstellen. Anschließend sollten die alten, fehlerhaften Zertifikate zurückgezogen und somit als ungültig deklariert werden. Widerrufene Zertifikate erzeugen in den meisten Browsern keine Warnung. Hat ein Angreifer den SSL-Schlüssel einer Webseite erlangt, bleibt die Gefahr für Man-in-the-Middle-Attacken weiter bestehen.

20.5.2014 von Ramona Kohlen

Weiter zur Startseite  

Mehr zum Thema

David Cameron

WhatsApp, iMessage & Co.

David Cameron will verschlüsselte Messenger verbieten

Der britische Premierminister David Cameron will Ende-zu-Ende-Verschlüsselung und damit auch Message-Dienste, wie WhatsApp und iMessage, die diese…

Symbolbild: Sicherheit

Nach Superfish-Sicherheitslücke

Browser-Plugin "PrivDog" sorgt für Risiko - So…

Der Sicherheitsanbieter Comodo vertreibt ein Security-Plugin, das vor gefährlicher Werbung schützen soll. Stattdessen sorgt es jedoch für ein…

Threema Logo

Sichere Whatsapp-Alternative

Threema bis Sonntag für 99 Cent für iOS, Android und Windows…

Die sichere Whatsapp-Alternative Threema ist für kurze Zeit auf 99 Cent reduziert. Den Download gibt es für iOS, Android und Windows Phone.

Symbolbild: Sicherheit

Free Proxy als Sicherheitsrisiko

Viele kostenlose Proxy-Server unterbinden Verschlüsselung…

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.

Spione und Hacker

Geschäfte mit Spionage-Lecks

Hacking Team kaufte Sicherheitslücke für 45.000 US-Dollar

Die für Spionagesoftware bekannte IT-Firma Hacking Team kaufte in großem Stil Infos über neue Sicherheitslücken. Ein E-Mail-Verkehr gibt Einblick in…