DIVSI wurde am 31.12.2018 aufgelöst. Diese Website dient ausschließlich als Archiv und wird nicht mehr aktualisiert.
DIVSI wurde am 31.12.2018 aufgelöst
und wird nicht mehr aktualisiert.

zurück zur Übersicht

OpenSSL-Heartbleed-Bug: betroffene Websites und was zu tun ist

10. April 2014

Der vergangenen Montag festgestellte OpenSSL-Bug (wir berichteten) zieht weite Kreise. Sicherheitsexperte Bruce Schneier, gemeinhin nicht gerade für Panikmache bekannt, stuft diesen Bug auf einer Skala von 1 bis 10 mit 11 ein – „katastrophal“. Der Expertentenor ist einhellig: Heartbleed ist eines der größten Sicherheitsprobleme, die das Internet bislang gesehen hat.

Heartbleed-Bug

Was ist zu tun?

Wie das Wired-Magazin gestern titelte, benötigt das Internet einen Passwort-Reset. Bereits gestern hatten wir mit Yahoo, OKCupid, Eventbrite und Imgur eine Reihe von Websites genannt, die betroffen waren oder sind – und mit ihnen potenziell alle Nutzer dieser Websites. Zur Vervollständigung dieser Liste und um die Dringlichkeit einer Passwortänderung abschätzen zu können, haben wir hier eine Zusammenstellung von weiteren betroffenen Websites vorgenommen. Sollte sich eine von Ihnen genutzte Website darunter befinden, sollten Sie ihr Passwort dringend ändern – dies jedoch erst, wenn die betroffene Website die Sicherheitslücke bereits geschlossen hat, da Ihr neues Passwort sonst postwendend wiederum in falsche Hände gelangen könnte. Die folgende Übersicht soll Ihnen das erleichtern:

Folgende Websites sind von Heartbleed betroffen

Website betroffen? Problem behoben? Passwort ändern?
Facebook unklar Facebook gibt an, dass sie das Problem behoben haben, bevor es öffentlich wurde; da es jedoch bereits seit 2 Jahren existiert, ist die Sicherheit nicht gewährleistet Ja
Tumblr Ja Ja Ja
Twitter unklar von Twitter gibt es noch keine Stellungnahme unklar
Apple unklar von Apple gibt es noch keine Stellungnahme unklar
Google Ja; dies betrifft die Suche, Gmail, YouTube, Wallet, Play, Apps und die App Engine Ja Ja
Gmail Ja Ja Ja
YouTube Ja Ja Ja
Google Wallet Ja Ja Ja
Google Play Ja Ja Ja
Yahoo Ja Ja Ja
Yahoo Mail Ja Ja Ja
Amazon Web Services Ja; dies betrifft nur Website-Betreiber, die Services wie AWS/EC2 genutzt haben; der Amazon-Shop ist nicht betroffen Ja Ja
eBay unklar laut Aussage von eBay ist „der Hauptteil seiner Services nicht betroffen“ gewesen unklar
Dropbox Ja Ja Ja
OKCupid Ja Ja Ja
SoundCloud Ja Ja Ja
Wunderlist Ja Ja Ja
Web.de Ja  Ja Ja
Chefkoch.de Ja  Ja Ja
Transfermarkt.de Ja  Nein Nein; hier muss zunächst die Behebung des Problems von Anbieterseite abgewartet werden
ZDF.de Ja  Ja Ja
 MyDealz.de Ja  Ja Ja
 DasTelefonbuch.de Ja  Ja Ja
 Berlin.de Ja  Ja Ja
 Kicktipp.de Ja  Ja Ja
 Afterbuy.de Ja  Ja Ja
 HypoVereinsbank.de Ja  Ja Ja
 GelbeSeiten.de Ja  Ja Ja
 Taz.de Ja  unklar unklar
Abakus-Internet-Marketing.de Ja  Ja Ja
Top.de Ja  Ja Ja
Giga.de Ja  Ja Ja
Check24.de Ja  Ja Ja
Shopware.de Ja  Ja Ja
Androidpit.de Ja  Ja Ja
Joomlaportal.de Ja  Nein Nein; hier muss zunächst die Behebung des Problems von Anbieterseite abgewartet werden

Quellen: Mashable, GitHub, Heartbleed-Test

Tipps für die Erstellung neuer und sicherer Passwörter

Wie die Aufstellung betroffener Websites demonstriert, steht wohl für die meisten Internetnutzer dringend die neue Wahl von Passwörtern an. Dies bietet Gelegenheit, diesmal möglichst sichere Passwörter zu wählen (diese hätten bei der entdeckten Sicherheitslücke auch nicht vor Diebstahl geschützt, sind jedoch in den meisten anderen Fällen ein effektiver Schutz). Hierbei ist folgendes zu beachten:

  1. Für jede Website ein anderes Passwort wählen (ein paar Tipps dazu, wie man sich diese trotz der Vielzahl merken kann, haben wir unten für Sie zusammengestellt)
  2. Niemals real existierende und somit in Wörterbüchern vorkommende Begriffe oder Namen wählen
  3. Immer eine Kombination von Großbuchstaben, Kleinbuchstaben, Zahlen und ggf. Sonderzeichen verwenden; keine Umlaute verwenden
  4. Mindestens 6 Zeichen verwenden
  5. Wenn von der jeweiligen Website angeboten sogenannte 2-Stufen-Authentifizierung verwenden

Diese Bedingungen klingen schwierig – müssen es aber nicht sein. So kann man z.B. jeweils die Anfangsbuchstaben der Songzeile eines bekannten Songs verwenden und diese durch das Geburtsdatum eines Freundes unterbrechen. Zur Differenzierung dieses Passworts auf verschiedenen Websites kann man zudem jeweils eine Buchstabenkombination aus dem Namen dieser Website hinzufügen.

Beispiel:

  • Der gewählte Song: „Ein Bett im Kornfeld“ -> die Songzeile des Refrains lautet: „Ein Bett im Kornfeld, das ist immer frei“; daraus ergeben sich die Anfangsbuchstaben EBiKdiif
  • Das gewählte Geburtsdatum: 21.05.1986 -> dieses wird hinter den Anfangsbuchstaben der ersten Wörter der Refrains eingestreut (EBiK21051986)
  • Die Website: Google -> wir wählen jeweils den ersten Buchstaben der Website, dieser wird hinter das Datum eingestreut (EBiK21051986G)
  • Als vollständiges Passwort ergibt sich dann: EBiK21051986Gdiif

Wir haben so ein leicht zu merkendes sicheres Passwort generiert, das dennoch auf jeder Website anders lautet.

Die Funktionsweise des Heartbleed-Bugs erklärt in einem Comic:

Quelle: http://xkcd.com/1354/

vorheriger Beitrag nächster Beitrag

nach Oben