SSL-Lücke war unbekannt

Heartbleed laut Studie nicht vorab ausgenutzt

Die OpenSSL-Schwachstelle, die unter dem Namen Heartbleed-Bug bekannt wurde, soll einer neuen Studie zufolge vor ihrer Veröffentlichung nicht ausgenutzt worden sein. Waren die Sicherheitsbedenken übertrieben?

© heartbleed.com

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

Heartbleed versetzte im April die Online-Welt in Schrecken. Zahllose Internetdienste waren von der SSL-Lücke betroffen, wodurch Millionen Nutzerdaten in Gefahr gerieten. Doch dem potentiellen Sicherheitsrisiko ging kein ernsthafter Schaden voraus, so zumindest die These einer neuen Studie, die nun vorgestellt wurde.

Bei ihrer Untersuchung der Folgen von Heartbleed kamen Forscher zu der Erkenntnis, dass die schwerwiegende Sicherheitslücke vor ihrem Bekanntwerden nicht von Cyberkriminellen ausgenutzt worden ist. Im untersuchten Zeitraum von November 2013 bis zur Veröffentlichung der Schwachstelle im April 2014 ließen sich keine Hinweise auf Angriffe finden, deren Grundlage der Bug in der OpenSSL-Erweiterung Heartbeat ist.

Ganz anders sehe es für die Zeit nach der Bekanntgabe von Heartbleed aus: Nachweisbar seien Angriffe rund 21 Stunden nach Veröffentlichung der Schwachstelle. Da einige betroffene Dienste jedoch vor der Öffentlichkeit über das Problem informiert worden waren, konnte die Gefahr frühzeitig minimiert werden.

Weniger als 24 Stunden nachdem die Meldung über Heartbleed die Runde gemacht hatte, war die Sicherheitslücke bei den nach Alexa-Webranking wichtigsten 10.000 Webseiten bereits geschlossen.

Die vollständige Untersuchung "The Matter of Heartbleed" gibt es hier als PDF in englischer Sprache.

Mehr zum Thema

Millionen gestohlene Datensätze

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…
Abmahnungen können drohen

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…