Sicherheitslücke in OpenSSL

G Data gibt Tipps, um sich wirksam zu schützen.

04/10/2014 | Bochum 

Seit gut zwei Jahren steckt in OpenSSL eine gefährliche Sicherheitslücke, die Anfang der Woche bekannt gemacht wurde. Die Lücke trägt den Namen „Heartbleed“ (Herzbluten) und betrifft nahezu alle Nutzer von Webseiten und –diensten. G Data rät Anwendern die Passwörter bei den betroffenen Diensten zu ändern.

 

Was ist passiert?

Sicherheitsexperten haben Anfang der Woche eine Schwachstelle in der OpenSSL-Bibliothek aufgedeckt, die wohl schon seit langem Angreifern die Möglichkeit gibt, den Speicher von Servern und von Kommunikationspartnern auszulesen. Durch einen Fehler in der Programmierung können Cyberkriminelle dadurch den geheimen Schlüssel eines Server-Zertifikats, Benutzernamen, Passwörter und verschlüsselte Daten wie E-Mails stehlen. Dabei hinterlassen die Angreifer keinerlei Spuren.

Generell sind alle Webseiten, –dienste betroffen, die die OpenSSL-Versionen 1.0.1 bis 1.0.1f sowie eine Betaversion von 1.0.2 nutzen. Die Version 1.0.1 erschien bereits vor rund zwei Jahren.

 

Was ist OpenSSL?

OpenSSL ist eine freie Verschlüsselungssoftware und bietet eine Implementierung des SSL/TLS-Verschlüsselungsprotokolls, der die Sicherheit des Datenverkehrs garantieren soll. Die Software ist Bestandteil fast aller Linux-Distributionen.

 

Was ist zu tun?

Server-Betreiber, die SSL zur Verschlüsselung einsetzen, sollten schleunigst auf die OpenSSL-Version 1.0.1g aktualisieren und die Schlüssel und Zertifikate erneuern.

Anwender sollten zügig ihre Passwörter bei den betroffenen Diensten wie E-Mail-Konten oder Online-Banking wechseln, jedoch erst dann wenn die Lücke auch vom Betreiber geschlossen wurde. Sollte dies nicht der Fall sein, können Cyberkriminelle das neue Passwort direkt wieder auslesen. G Data Kunden brauchen sich um ihre Daten keine Sorgen machen. Unsere Webseiten waren von diesem Problem nicht betroffen.

Es wurden bereits Internetseiten eingerichtet, die URLs nach dem Heartbleed-Bug prüfen:

https://www.ssllabs.com/ssltest/

http://filippo.io/Heartbleed/

 

Neues Passwort verwenden

Anwender sollten ihre Passwörter insbesondere für Web-Dienste wie E-Mail-Konten, ändern. Empfehlenswert sind Kombinationen aus Klein- und Großschreibung, kombiniert mit Ziffern. Sichere Passwörter bestehen aus mindestens acht Zeichen und beinhalten Buchstaben in Groß- und Kleinschreibung und Ziffern. 

Um sich so ein Passwort gut merken zu können, kann man zum Beispiel eines mit persönlichem Wiedererkennungswert erstellen, z.B. aus Akronymen des eigenen Lieblingsliedes:

Il Buono, Il Brutto, Il Cattiva von Ennio Morricone = IlBuIlBrIlCavEM


Christian Lueg