zurück zur Übersicht

Internet wegen Heartbleed-OpenSSL-Problem im Ausnahmezustand

9. April 2014

In der Vergangenheit sind immer wieder E-Mail-Adressen mit den zugehörigen Passwörtern im Internet aufgetaucht, die von Hackern erbeutet wurden. Das Montag bekanntgewordene Problem ist nach einheitlicher Einschätzung von Sicherheitsexperten jedoch noch wesentlich schwerwiegender, da durch die festgestellte und bereits seit etwa 2 Jahren unbemerkt gebliebene Sicherheitslücke in der OpenSSL-Verschlüsselung aus dem Speicher betroffener Server die für die Verschlüsselung verwendeten sogenannten Private Keys ausgelesen werden können. Bewaffnet mit diesem Key kann ein Hacker den eigentlich verschlüsselt ablaufenden Transfer sensibler Daten wie Passwörter, Kreditkarteninformationen, Versicherungsnummern etc. unverschlüsselt absaugen.

Wie schwerwiegend das Problem tatsächlich ist wird vor dem Hintergrund deutlich, dass OpenSSL etwa auf Apache- und nginx-Servern zum Einsatz kommt, auf denen 66% aller Websites laufen. Es ist davon auszugehen, dass mindestens 33% aller für den User als sicher angezeigten SSL-Verbindungen betroffen sind, der Zugriff auf diese Sicherheitslücke keine Spuren in Log-Files hinterlässt – und dies alles seit etwa 2 Jahren möglich ist. Aus diesem Grund ist das tatsächliche Ausmaß des Problems heute noch gar nicht abschätzbar, ist aber als derart schwerwiegend anzunehmen, dass das Tor-Project etwa empfiehlt, das Internet in der nächsten Zeit am besten gar nicht zu nutzen, bis mehr Klarheit besteht.

Was lässt sich heute bereits über das OpenSSL-Problem sagen – was muss man wissen?

Worum geht es bei SSL?

SSL ist eine populäre Verschlüsselungstechnologie zum Schutz von über das Internet übertragenen Daten. Beim Besuch einer mit SSL gesicherten Website wird dies durch die Anzeige von „https“ in der Adresszeile, in den meisten Browsern in Verbindung mit einem grünen Schloss kenntlich gemacht. Hier die Anzeige der Yahoo-E-Mail-Website im Chrome-Browser:

SSL-Verschlüsselung

Dies signalisiert dem Nutzer, dass die Verbindung sicher ist. Die übertragenen Daten werden codiert und können nur vom Empfänger mit dem zugehörigen Private Key entschlüsselt werden. Ein Hacker, der die Verbindung abhört, erhält nur eine scheinbar zufällige Aneinanderreihung von Zeichen anstelle der tatsächlich übertragenen Informationen.

Worum geht es beim Heartbleed-Bug?

Der Hauptteil der mit SSL verschlüsselten Websites verwendet ein Open-Source-Paket namens OpenSSL. Über die vorgestern identifizierte Sicherheitslücke kann man den Server zur Herausgabe geheimer Informationen bringen, das Auslesen des Arbeitsspeichers des Servers ist möglich.

Heartbleed-Bug

Im Arbeitsspeicher können sich viele hochkritische Informationen wie Passwörter, Kreditkarteninformationen aber eben auch Secret Keys befinden. Während bereits der unbefugte Zugriff auf Passwörter und Kreditkarteninformationen höchst problematisch ist, ermöglicht das Absaugen des für die Entschlüsselung eingesetzten Private Keys ganz andere Dimensionen der Gefährdung: bewaffnet mit dem Private Key kann ein Hacker nun alle verschlüsselt an den Server gesandten Informationen entschlüsseln; er kann sogar vorgeben der Server zu sein und Nutzer zur Preisgabe dieser Informationen verleiten.

Welche Websites sind betroffen?

Hierzu liegen noch keine abschließenden Erkenntnisse vor. Es ist jedoch davon auszugehen, das zwei Drittel aller Server betroffen sind. Zusätzlich ist OpenSSL jedoch auch in Desktop-basierten E-Mail-Anwendungen und Chat-Software im Einsatz. Bekannt ist, dass Websites wie Yahoo, Imgur, OKCupid, Eventbrite und sogar die Website des FBI betroffen waren oder sind. Erste Listen mit Analyseergebnissen wurden veröffentlicht. Sicherheitsforscher Ivan Ristic geht davon aus, das 30% aller Website, die SSL verwenden, betroffen sind.

Was kann man tun?

Als Internetnutzer leider nicht viel. Man sollte überprüfen, ob die genutzten Websites in der Liste betroffener Seiten auftauchen oder verwendete Websites mit diesem Heartbleed-Test-Tool selbst auf ihre Unbedenklickeit überprüfen. Sicherheitshalber sollten alle User all ihre Passwörter ändern. Als Netzwerk-Administrator oder Website-Manager sollte man unverzüglich das Patch zur Behebung dieser Sicherheitslücke installieren.

vorheriger Beitrag nächster Beitrag

nach Oben