1. Digital
  2. Internet

OpenSSL Heartbleed Sicherheitslücke: Wo das Passwort zu ändern ist!

"Heartbleed" Sicherheitslücke : Welche Passwörter Sie jetzt ändern müssen

Es ist keine gute Woche für die Sicherheit im Internet. Erst der Ärger um 18 Millionen gehackte E-Mail-Konten, jetzt ist die verschlüsselte Kommunikation in Gefahr. Bei zahlreichen Diensten sollten Sie deswegen jetzt erneut Ihre Passwörter ändern. Experten sprechen von einem Gau für das Internet.

Wenn Internet-Nutzer in den vergangenen zwei Jahren davon ausgegangen sind, dass die Verbindung zum Server sicher gewesen ist, dann war das unter Umständen nicht der Fall. Sensible Daten -vom Internet-Passwort bis hin zur Kreditkartennummer- konnten abgefangen werden. Die Entdecker dieser Sicherheitslücke haben diese Sicherheitslücke entsprechend getauft: Heartbleed. Oder auf Deutsch: Herzbluten.

Der Nutzer ist machtlos

In den letzten Jahren ist Internet-Nutzern beigebracht worden, möglichst viel über verschlüsselte Verbindungen im Netz zu surfen. Vor allem beim Online-Banking, beim Shopping oder beim Mailen. Hierzu wird eine SSL-Verbindung aufgebaut. Die werden an einer grünen Markierung der Adresszeile oder an einem gelben Schloss-Symbol im Browser erkannt, oder dass die Internet-Adresse mit "https://" statt "http://" beginnt. Damit so eine verschlüsselte Verbindung möglich ist, gibt es auf dem Webserver eine entsprechende Software. Auf vielen Internet-Seiten wird OpenSSL eingesetzt.

Genau in dieser OpenSSL-Software ist die gravierende Sicherheitslücke aufgetreten. Hacker haben bei der Heartbleed-Lücke die Möglichkeit Code auf dem Server einzuschleusen und dann sämtliche Kommunikation abzufangen. Das Problem: Die Datendiebe hinterlassen dabei keine Spuren. Wie groß der Schaden tatsächlich ist, kann niemand sagen.

Zwar ist in der aktuellen Fassung von OpenSSL die Sicherheitslücke bereits geschlossen, dieses Update muss aber von den Webseiten-Betreibern eingespielt werden. Nutzer der betroffenen Webseiten können von sich aus nichts unternehmen. Nachdem die Webseiten gesichert sind, sollten sie auf jeden Fall ihre Passwörter ändern.

Wo Sie jetzt Ihre Passwörter ändern sollten

Nach und nach äußern sich verschiedene Webdienste, ob auch deren Kunden betroffen sind und empfehlen bei Bedarf die Passwörter zu ändern.

Der Social-Media-Infodienst Mashable hat die Top 10.000 Internetseiten geprüft, ob die Internet-Adressen eine entsprechende OpenSSL-Version im Einsatz haben. Haben Sie bei diesen Diensten einen Zugang, sollten Sie dort ihr Passwort ändern.

Das sind die Top zehn Webseiten:

Aber auch in Deutschland bekannte Dienste wie Wunderlist sind betroffen. Hier geht es zu der kompletten Liste von Mashable.

Außerdem haben wir für Sie alle deutschen und die in Deutschland wichtigen Adressen zusammengestellt.

Wenn Sie eine spezielle Internetseite überprüfen möchten, können Sie auf dieser Webseite auch manuell eine Internet-URL prüfen. Wenn Sie mit dem Internet-Browser Chrome im Netz unterwegs sind, können Sie sich von diesem Zusatzprogramm warnen lassen, sollten Sie auf einer Internetseite mit einer anfälligen SSL-Verbindung unterwegs sein.

  • Tipps : Sichere Passwörter - unsichere Passwörter
  • Schutz vor Hackern und Co. : Der kleine Passwort-Knigge
  • Diese Webseiten sind für Heartbleed anfällig

Es gibt aber einen wichtien Punkt zu beachten: Ist eine Webseite für die Sicherheitslücke anfällig, sollten Sie ihr Passwort ändern. Ob tatsächlich ein Schaden aufgetreten ist, ist damit nicht gesagt. Fällt der Test negativ aus, kann die Webseite trotzdem von der Sicherheitslücke betroffen sein. Der Webserver kann den Einsatz von OpenSSL verbergen. Hier müssen Nutzer dann auf eine Reaktion vom Betreiber abwarten!

Wir haben hier weitere Fragen und Antworten rund um Heartbleed zusammengestellt.

Übrigens: Der fehlerhafte Software-Code, der die aktuelle Sicherheitslücke in vielen Web-Diensten auslöste, wurde von einem deutschen Programmierer geschrieben. Es sei ein unbeabsichtigter Fehler beim Verbessern der Verschlüsselungssoftware OpenSSL gewesen, beteuerte der Mann. "Ich habe an OpenSSL mitgearbeitet und eine Reihe von Bugfixes und neuer Features eingereicht. In einem Patch für ein neues Feature habe ich offenbar eine Längenprüfung übersehen", erklärte er in einer E-Mail an "Spiegel Online". Ähnlich erklärte er den Fehler im "Sydney Morning Herald" am Donnerstag.

(pst)