Sicherheitslücke in OpenSSL

G Data Kunden brauchen sich um ihre Daten keine Sorgen machen

04/16/2014 | Bochum 

Seit gut zwei Jahren steckt in OpenSSL eine gefährliche Sicherheitslücke, die es Cyberkriminellen ermöglicht, die SSL-Verschlüsselung zu umgehen und den Speicher von Webservern und Kommunikationspartnern auszulesen. Die Lücke trägt den Namen „Heartbleed“ (Herzbluten) und betrifft nahezu alle Nutzer von Webseiten und –diensten. Germansicherheit rät Anwendern die Passwörter bei den betroffenen Diensten zu ändern.

 

Was ist passiert?

Sicherheitsexperten haben Anfang der Woche eine Schwachstelle in der OpenSSL-Bibliothek aufgedeckt, die wohl schon seit langem Angreifern die Möglichkeit gibt, den Speicher von Servern und von Kommunikationspartnern auszulesen. Durch einen Fehler in der Programmierung können Cyberkriminelle dadurch den geheimen Schlüssel eines Server-Zertifikats, Benutzernamen, Passwörter und verschlüsselte Daten wie E-Mails stehlen. Dabei hinterlassen die Angreifer keinerlei Spuren.

Generell sind alle Webseiten, –dienste betroffen, die die OpenSSL-Versionen 1.0.1 bis 1.0.1f sowie eine Betaversion von 1.0.2 nutzen. Die Version 1.0.1 erschien bereits vor rund zwei Jahren.

Die G Data Sicherheitsexperten haben in ihrem englischsprachigen Blog das Thema genauer aufgegriffen und analysiert. https://blog.gdatasoftware.com/blog/article/the-heartbleed-bug.html

 

Was ist OpenSSL?

OpenSSL ist eine freie Verschlüsselungssoftware und bietet eine Implementierung des SSL/TLS-Verschlüsselungsprotokolls, der die Sicherheit des Datenverkehrs garantieren soll. Die Software ist Bestandteil fast aller Linux-Distributionen.

 

Was ist zu tun?

Server-Betreiber, die SSL zur Verschlüsselung einsetzen, sollten schleunigst auf die OpenSSL-Version 1.0.1g aktualisieren und die Schlüssel und Zertifikate erneuern.

Anwender sollten zügig ihre Passwörter bei den betroffenen Diensten wie E-Mail-Konten oder Online-Banking wechseln, jedoch erst dann wenn die Lücke auch vom Betreiber geschlossen wurde. Sollte dies nicht der Fall sein, können Cyberkriminelle das neue Passwort direkt wieder auslesen. Anwender haben keine Möglichkeit herauszufinden, ob ihre Daten abgegriffen wurden. Angriffe auf die OpenSSL-Lücke hinterlassen keine Spuren.

Es wurden bereits Internetseiten eingerichtet, die URLs nach dem Heartbleed-Bug prüfen:

https://www.ssllabs.com/ssltest/

G Data Kunden brauchen sich um ihre persönlichen Daten keine Sorgen machen. Unsere Webseiten waren von diesem Problem nicht betroffen.

 

Neues Passwort verwenden

Anwender sollten ihre Passwörter insbesondere für Web-Dienste wie E-Mail-Konten, ändern. Da nicht erkennbar ist, welche Seiten genau von Attacken betroffen waren, empfiehlt es sich alle Passwörter zu ändern. Empfehlenswert sind Kombinationen aus Klein- und Großschreibung, kombiniert mit Ziffern. Sichere Passwörter bestehen aus mindestens acht Zeichen und beinhalten Buchstaben in Groß- und Kleinschreibung und Ziffern. 

Um sich so ein Passwort gut merken zu können, kann man zum Beispiel eines mit persönlichem Wiedererkennungswert erstellen, z.B. aus Akronymen des eigenen Lieblingsliedes:

Il Buono, Il Brutto, Il Cattiva von Ennio Morricone = IlBuIlBrIlCavEM


Christian Lueg