In der Vergangenheit sind immer wieder E-Mail-Adressen mit den zugehörigen Passwörtern im Internet aufgetaucht, die von Hackern erbeutet wurden. Das Montag bekanntgewordene Problem ist nach einheitlicher Einschätzung von Sicherheitsexperten jedoch noch wesentlich schwerwiegender, da durch die festgestellte und bereits seit etwa 2 Jahren unbemerkt gebliebene Sicherheitslücke in der OpenSSL-Verschlüsselung aus dem Speicher betroffener Server die für die Verschlüsselung verwendeten sogenannten Private Keys ausgelesen werden können. Bewaffnet mit diesem Key kann ein Hacker den eigentlich verschlüsselt ablaufenden Transfer sensibler Daten wie Passwörter, Kreditkarteninformationen, Versicherungsnummern etc. unverschlüsselt absaugen.
Schwerwiegendes #OpenSSL Sicherheitsproblem entdeckt, ermöglicht spurlosen Zugriff auf geheime Schlüssel #heartbleed http://t.co/R8XESyhwgs
— DIVSI (@DIVSI_Info) April 8, 2014
Wie schwerwiegend das Problem tatsächlich ist wird vor dem Hintergrund deutlich, dass OpenSSL etwa auf Apache- und nginx-Servern zum Einsatz kommt, auf denen 66% aller Websites laufen. Es ist davon auszugehen, dass mindestens 33% aller für den User als sicher angezeigten SSL-Verbindungen betroffen sind, der Zugriff auf diese Sicherheitslücke keine Spuren in Log-Files hinterlässt – und dies alles seit etwa 2 Jahren möglich ist. Aus diesem Grund ist das tatsächliche Ausmaß des Problems heute noch gar nicht abschätzbar, ist aber als derart schwerwiegend anzunehmen, dass das Tor-Project etwa empfiehlt, das Internet in der nächsten Zeit am besten gar nicht zu nutzen, bis mehr Klarheit besteht.
SSL ist eine populäre Verschlüsselungstechnologie zum Schutz von über das Internet übertragenen Daten. Beim Besuch einer mit SSL gesicherten Website wird dies durch die Anzeige von „https“ in der Adresszeile, in den meisten Browsern in Verbindung mit einem grünen Schloss kenntlich gemacht. Hier die Anzeige der Yahoo-E-Mail-Website im Chrome-Browser:
Dies signalisiert dem Nutzer, dass die Verbindung sicher ist. Die übertragenen Daten werden codiert und können nur vom Empfänger mit dem zugehörigen Private Key entschlüsselt werden. Ein Hacker, der die Verbindung abhört, erhält nur eine scheinbar zufällige Aneinanderreihung von Zeichen anstelle der tatsächlich übertragenen Informationen.
Der Hauptteil der mit SSL verschlüsselten Websites verwendet ein Open-Source-Paket namens OpenSSL. Über die vorgestern identifizierte Sicherheitslücke kann man den Server zur Herausgabe geheimer Informationen bringen, das Auslesen des Arbeitsspeichers des Servers ist möglich.
Im Arbeitsspeicher können sich viele hochkritische Informationen wie Passwörter, Kreditkarteninformationen aber eben auch Secret Keys befinden. Während bereits der unbefugte Zugriff auf Passwörter und Kreditkarteninformationen höchst problematisch ist, ermöglicht das Absaugen des für die Entschlüsselung eingesetzten Private Keys ganz andere Dimensionen der Gefährdung: bewaffnet mit dem Private Key kann ein Hacker nun alle verschlüsselt an den Server gesandten Informationen entschlüsseln; er kann sogar vorgeben der Server zu sein und Nutzer zur Preisgabe dieser Informationen verleiten.
Hierzu liegen noch keine abschließenden Erkenntnisse vor. Es ist jedoch davon auszugehen, das zwei Drittel aller Server betroffen sind. Zusätzlich ist OpenSSL jedoch auch in Desktop-basierten E-Mail-Anwendungen und Chat-Software im Einsatz. Bekannt ist, dass Websites wie Yahoo, Imgur, OKCupid, Eventbrite und sogar die Website des FBI betroffen waren oder sind. Erste Listen mit Analyseergebnissen wurden veröffentlicht. Sicherheitsforscher Ivan Ristic geht davon aus, das 30% aller Website, die SSL verwenden, betroffen sind.
Als Internetnutzer leider nicht viel. Man sollte überprüfen, ob die genutzten Websites in der Liste betroffener Seiten auftauchen oder verwendete Websites mit diesem Heartbleed-Test-Tool selbst auf ihre Unbedenklickeit überprüfen. Sicherheitshalber sollten alle User all ihre Passwörter ändern. Als Netzwerk-Administrator oder Website-Manager sollte man unverzüglich das Patch zur Behebung dieser Sicherheitslücke installieren.