Der vergangenen Montag festgestellte OpenSSL-Bug (wir berichteten) zieht weite Kreise. Sicherheitsexperte Bruce Schneier, gemeinhin nicht gerade für Panikmache bekannt, stuft diesen Bug auf einer Skala von 1 bis 10 mit 11 ein – „katastrophal“. Der Expertentenor ist einhellig: Heartbleed ist eines der größten Sicherheitsprobleme, die das Internet bislang gesehen hat.
Wie das Wired-Magazin gestern titelte, benötigt das Internet einen Passwort-Reset. Bereits gestern hatten wir mit Yahoo, OKCupid, Eventbrite und Imgur eine Reihe von Websites genannt, die betroffen waren oder sind – und mit ihnen potenziell alle Nutzer dieser Websites. Zur Vervollständigung dieser Liste und um die Dringlichkeit einer Passwortänderung abschätzen zu können, haben wir hier eine Zusammenstellung von weiteren betroffenen Websites vorgenommen. Sollte sich eine von Ihnen genutzte Website darunter befinden, sollten Sie ihr Passwort dringend ändern – dies jedoch erst, wenn die betroffene Website die Sicherheitslücke bereits geschlossen hat, da Ihr neues Passwort sonst postwendend wiederum in falsche Hände gelangen könnte. Die folgende Übersicht soll Ihnen das erleichtern:
Website | betroffen? | Problem behoben? | Passwort ändern? |
unklar | Facebook gibt an, dass sie das Problem behoben haben, bevor es öffentlich wurde; da es jedoch bereits seit 2 Jahren existiert, ist die Sicherheit nicht gewährleistet | Ja | |
Tumblr | Ja | Ja | Ja |
unklar | von Twitter gibt es noch keine Stellungnahme | unklar | |
Apple | unklar | von Apple gibt es noch keine Stellungnahme | unklar |
Ja; dies betrifft die Suche, Gmail, YouTube, Wallet, Play, Apps und die App Engine | Ja | Ja | |
Gmail | Ja | Ja | Ja |
YouTube | Ja | Ja | Ja |
Google Wallet | Ja | Ja | Ja |
Google Play | Ja | Ja | Ja |
Yahoo | Ja | Ja | Ja |
Yahoo Mail | Ja | Ja | Ja |
Amazon Web Services | Ja; dies betrifft nur Website-Betreiber, die Services wie AWS/EC2 genutzt haben; der Amazon-Shop ist nicht betroffen | Ja | Ja |
eBay | unklar | laut Aussage von eBay ist „der Hauptteil seiner Services nicht betroffen“ gewesen | unklar |
Dropbox | Ja | Ja | Ja |
OKCupid | Ja | Ja | Ja |
SoundCloud | Ja | Ja | Ja |
Wunderlist | Ja | Ja | Ja |
Web.de | Ja | Ja | Ja |
Chefkoch.de | Ja | Ja | Ja |
Transfermarkt.de | Ja | Nein | Nein; hier muss zunächst die Behebung des Problems von Anbieterseite abgewartet werden |
ZDF.de | Ja | Ja | Ja |
MyDealz.de | Ja | Ja | Ja |
DasTelefonbuch.de | Ja | Ja | Ja |
Berlin.de | Ja | Ja | Ja |
Kicktipp.de | Ja | Ja | Ja |
Afterbuy.de | Ja | Ja | Ja |
HypoVereinsbank.de | Ja | Ja | Ja |
GelbeSeiten.de | Ja | Ja | Ja |
Taz.de | Ja | unklar | unklar |
Abakus-Internet-Marketing.de | Ja | Ja | Ja |
Top.de | Ja | Ja | Ja |
Giga.de | Ja | Ja | Ja |
Check24.de | Ja | Ja | Ja |
Shopware.de | Ja | Ja | Ja |
Androidpit.de | Ja | Ja | Ja |
Joomlaportal.de | Ja | Nein | Nein; hier muss zunächst die Behebung des Problems von Anbieterseite abgewartet werden |
Quellen: Mashable, GitHub, Heartbleed-Test
Wie die Aufstellung betroffener Websites demonstriert, steht wohl für die meisten Internetnutzer dringend die neue Wahl von Passwörtern an. Dies bietet Gelegenheit, diesmal möglichst sichere Passwörter zu wählen (diese hätten bei der entdeckten Sicherheitslücke auch nicht vor Diebstahl geschützt, sind jedoch in den meisten anderen Fällen ein effektiver Schutz). Hierbei ist folgendes zu beachten:
Diese Bedingungen klingen schwierig – müssen es aber nicht sein. So kann man z.B. jeweils die Anfangsbuchstaben der Songzeile eines bekannten Songs verwenden und diese durch das Geburtsdatum eines Freundes unterbrechen. Zur Differenzierung dieses Passworts auf verschiedenen Websites kann man zudem jeweils eine Buchstabenkombination aus dem Namen dieser Website hinzufügen.
Wir haben so ein leicht zu merkendes sicheres Passwort generiert, das dennoch auf jeder Website anders lautet.