1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages

Digitales Leben

Der Super-GAU im Netz

Die Hiobsbotschaften über Sicherheitslücken im Netz reißen nicht ab. Geknackte E-Mailkonten, ein durchlässiges Windows-System und nun der "Heartbleed"-Bug: Eine Lücke in der OpenSSL-Verschlüsselung.

Wer eine Webseite mit persönlichen Zugangsdaten besucht, sieht oben in der Browserzeile am Anfang der URL die Buchstaben https. Ein Zeichen dafür, dass der Server, auf dem diese Seite liegt, mit der Verschlüsselungstechnik OpenSSL geschützt ist. Das sind nicht etwa irgendwelche exotischen Seiten, sondern es sind Portale wie Amazon, Facebook, Google oder Yahoo, hinzu kommen verschiedene Mailserver und Onlinebanking - kurzum: alles Seiten, auf denen tagtäglich Millionen Internetuser unterwegs sind. Die SSL-Software soll Informationen wie Zugangsdaten, Kreditkartennummern und Mailinhalte auf ihrem Weg durch das Netz schützen.

Jetzt haben Techniker von Google und der finnischen

IT-Sicherheitsfirma Codenomicon

ein großes Leck in der sicher geglaubten Verbindung gefunden. Sie nennen den Programmierfehler "Heartbleed"-Bug. Er ermöglicht es Angreifern, die Kommunikation im Netz mitzulesen, Daten direkt von Diensten und Nutzern zu stehlen und sich selbst sogar als Nutzer oder Webdienst auszugeben. Das geschieht, indem der Speicherserver in vielen kleinen Schritten ausgelesen wird. Bei jedem Zugriff auf den Speicher können kleine Datenpäckchen geklaut werden. Zusammengefügt ergeben die kleinen Speicherstückchen dann die gewünschten Informationen wie etwa Passwörter.

Die Entdecker des Fehlers sind in die Rollen von Hackern geschlüpft und haben Tests durchgeführt: "Wir griffen uns selbst von außen an, ohne eine Spur zu hinterlassen", heißt es auf der

Heartbleed-Infowebseite

, die Codenomicon extra hierfür ins Netz gestellt hat. "Ohne jegliche Zugangsdaten stahlen wir uns selbst die geheimen Schlüssel für die Sicherheitszertifikate, Usernamen und Passwörter und lasen Instant Messages und E-Mails mit", schreiben die Sicherheitsexperten.

Schlag ins Herz des Internets

Die Netzwelt ist alarmiert. Technik-Experten sprechen vom "Super-GAU", vom Schlag ins Herz des Internets.

Knapp 260 Millionen Webseiten gibt es

, davon laufen gut zwei Drittel auf Servern, die OpenSSL einsetzen - und so ist nahezu jeder Nutzer betroffen. Besonders vorsichtig sollen die Nutzer sein, die über versteckte Netzwerke wie etwa das

Tor-Projekt

kommunizieren, also auch verfolgte Blogger oder Internetaktivisten.

Symbolbild Internet Password Hacking

IT-Sicherheitsexperten empfehlen jedem Nutzer, seine Passwörter zu ändern

Mit den geknackten Schlüsseln hätten sich die Angreifer die "Kronjuwelen herausgepickt", heißt es auf der Webseite von Codenomicon - denn damit könnten alle SSL-verschlüsselten Informationen entziffert werden. Eine unerschöpfliche Goldgrube für Schnüffler, Betrüger und andere Cyberkriminelle.

Obwohl viele Seiten von der Lücke betroffen sind, sind die meisten Dienste offenbar nicht akut gefährdet. Unproblematisch ist es - noch - bei Facebook, Google, Wordpress oder Wikipedia. Gefährdet sind hingegen der Mailserver web.de und Seiten wie Yahoo und Flickr.

Auf einer

speziellen Webseite können interessierte Nutzer nachsehen

, welche Dienste gefährdet sind, und welche gar nicht erst mit OpenSSL verschlüsselt sind. Die gängigen Browser wie etwa Firefox sind nicht gefährdet, ebenso wenig der Outlook-Mailserver.

Was kann der Nutzer tun?

Nicht viel. Denn der Nutzer hat keinen Einfluss auf die Verschlüsselung der Webserver ihrer Anbieter. Die sind natürlich darauf bedacht, ihre Lücken schnell zu schließen. Webexperten empfehlen Internetnutzern, die gefährdeten Seiten erst mal nicht zu besuchen. Wenn es unumgänglich sei, solle man seine vertraulichen Daten zurückhalten. Währenddessen arbeiten Systemadministratoren der Webdienste emsig daran, die neuesten Software-Updates zu installieren. Wer ganz sicher gehen will, sollte sich an die Empfehlung der Blogging-Plattform Tumblr halten: "Dies ist ein guter Tag sich krankschreiben zu lassen und sich Zeit dafür zu nehmen, sämtliche Passwörter auszutauschen, vor allem die Zugangsdaten für Mails, Clouds und Onlinebanking."

Wie ernst die Sache wirklich ist, das können selbst Experten nicht sagen. Einig sind sich alle darüber, dass diese Lücke eine Katastrophe ist. Sie existiert schon seit zwei Jahren - und so können alle Daten, die über die SSL-Verschlüsselung liefen, in dieser Zeit abgefangen worden sein. Übrigens auch von der NSA, die gezielt nach solchen Schwachstellen sucht. Dass der US-Geheimdienst den Heartbleed-Bug allerdings beauftragt, hat, ist reine Phantasie: Die Ursache ist viel profaner: Ein deutscher Programmierer, der an der OpenSSL-Technik mitgearbeitet hat, hat sich jetzt zu Wort gemeldet. Ihm sei ledigilich ein Fehler unterlaufen: Er habe sich im Programmiercode vertan.

Die Redaktion empfiehlt

WWW-Links