#Heartbleed: Wie weitreichend ist die OpenSSL-Sicherheitslücke wirklich?

Laut einer Studie sind weniger Webseiten von der Schwachstelle betroffen als befürchtet. Zudem ist die Zahl innerhalb von drei Tagen um zwei Drittel gefallen.

Es war eines der Aufregerthemen Ende der vergangenen Woche: Die Heartbleed getaufte Sicherheitslücke in der Verschlüsselungssoftware namens OpenSSL. Sie hat Webseitenbetreiber wie Internet-Nutzer rund um den Globus in helle Aufregung versetzt.

Zum Hintergrund: OpenSSL ist eine so genannte Open-Source-Software – ihr Quelltext liegt für jedermann offen – und wird von vielen Webseiten zur Absicherung des Datenverkehrs genutzt. Dazu zählen prominente Internet-Riesen wie Google, Facebook oder Yahoo, aber auch Startups wie Soundcloud oder Wunderlist.

Die „Heartblead“ getaufte Schwachstelle ermöglicht es, dass Angreifer mittels eines Kniffs  potentiell sensible Daten aus verschlüsselten Internetverbindungen abgreifen können. Die wichtigsten Fragen und Antworten haben meine Kollegen am vergangenen Freitag auf WiWo.de zusammengestellt.

Schnelle Reaktion bei vielen betroffenen Webseiten (Quelle: BAE Systems/PCMag)

Bleibt aber die spannende Frage: Wie weitreichend ist die OpenSSL-Sicherheitslücke wirklich? Zum einen ist bis heute nicht klar, wie viele und wie oft Daten in der Vergangenheit bereits abgegriffen wurden. Denn der Fehler steckt in der sogenannten Heartbeat-Erweiterung von SSL (daher auch der abgewandelte Name für den Bug) und blieb rund zwei Jahre unentdeckt.

Allerdings scheinen die IT-Verantwortlichen bei vielen betroffenen Unternehmen sehr schnell reagiert zu haben. Das jedenfalls ist das Ergebnis einer Analyse des Sicherheitsunternehmens BAE Systems. Demnach fand BAE am 8. April noch eine Verwundbarkeit bei 628 der 10.000 größten Webseites. Jener Wert sank bis zum 10. April auf nur noch 180 – laut BAE ein Indiz dafür, dass die Lücke bald ganz geschlossen sein könnte.

Damit man mich nicht falsch versteht: Jeder Nutzer sollte dennoch seine Passworte bei Facebook & Co. erneuern – zumal laut jüngsten Berichten inzwischen auch Banken betroffen sein sollen. Zur ganz großen Panik scheint bei Heartbleed dann aber doch kein Anlass. Weitere Infos zur Funktionsweise der Schwachstelle in untenstehender Infografik – zum Vergrößern anklicken:

Quelle: BAE Systems/PCMag

Verwandte Artikel:

Studie: Unternehmen ignorieren Risiken bei der Einbindung privater Geräte

Schad-Apps: Betrügerische Werbung vorne, in Deutschland mehr Trojaner

Vier von fünf aller mobilen Schädlinge befallen Android; Apple weniger als ein Prozent

Anhaltende Sicherheitsprobleme bei Messaging-Anwendung WhatsApp

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*



Alle Kommentare [2]

  1. Empfinde ich als viel zu kurz gedacht.

    Sollte das Auslesen von Private Keys möglich gewesen sein (wonach es momentan aussieht), kann jede Datenverbindung die in der Vergangenheit gespeichert worden ist – aber nicht entschlüsselt werden konnte – nun mit einfachsten Mitteln ausgelesen werden.

    Was nützt es da, wenn die großen Unternehmen mittlerweile alles erneuert haben, die ganze Vergangenheit aber offen liegt? Ich meine, wie oft erneuert ein Unternehmen mal eben die Private Keys? Vielleicht mal alle paar Jahre, das ist noch sehr sehr optimistisch gedacht.

    Jeder Artikel, der diese Geschichte herunterspielt ärgert mich persönlich wirklich.

  2. Wahnsinn was hier Panikmache geschoben wird. kaum ist der eine Virus vorbei denkt kein mensch mehr an ihn und der nächste steht auch schon parat. da wird unsere Bundeskanzlerin ausspioniert und wir wundern uns darüber, dass Daten die im Internet zu finden sind gehackt werden können. Naja schöne bunte Welt da draußen, so ist es eben.