Sicherheitsproblem

10. April 2014 19:01; Akt: 10.04.2014 19:01 Print

Schweizer Firmen meistern Heartbleed

Die massive Sicherheitslücke hat auch Schweizer Websites getroffen. 20 Minuten hat bei wichtigen Firmen und grossen Städten nachgefragt, ob nun Passwörter gewechselt werden müssen.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Die Heartbleed-Sicherheitslücke hat Systemadministratoren weltweit zu Nachtschichten gezwungen. Nach Einschätzung von IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein. Grosse Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu stopfen. Die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes steht in Kontakt mit Telekommunikationsfirmen, Finanzinstituten und weiteren Unternehmen, die kritische Infrastrukturen betreiben. Viele Firmen hätten ihre Systeme bereits mit den verfügbaren Sicherheitsfixes versehen oder seien dabei, dies zu tun, erklärte die Behörde.

20 Minuten hat bei einigen der wichtigsten Schweizer Unternehmen und grossen Städten nachgefragt, wer von Heartbleed betroffen war und ob entsprechende Sicherheitsmassnahmen getroffen wurden. Alle angefragten Firmen und Behörden haben inzwischen – sofern sie betroffen waren – reagiert und die Sicherheitslücken gestopft.

Kein Website-Betreiber hat explizit zu einem Wechsel des Passworts geraten. Hier und da kam jedoch die Empfehlung, das Passwort sicherheitshalber trotzdem zu wechseln. Grundsätzlich gilt, Passwörter sollten regelmässig gewechselt werden – unabhängig von allfälligen Sicherheitslücken. Die Ergebnisse der Umfrage finden Sie in der Bildstrecke.

Eine komplette Übersicht müssen sich die Nutzer allerdings selbst verschaffen. Viele Firmen informieren nur zurückhaltend über das Problem. Auch viele kleinere Unternehmen dürften von Heartbleed betroffen sein. Nutzer dieser Websites können sich mit einer der diversen Testseiten für die Prüfung fraglicher Internetadressen behelfen, darunter «Heartbleed Test». Missbräuche wurden bislang nicht bekannt.

Weltweites Problem

Von den internationalen Unternehmen teilte Google mit, dass unter anderem die eigene Internet-Suche, der E-Mail-Dienst Gmail, Youtube und die Download-Plattform Play betroffen waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das Unternehmen mit.

SSL wird von einer Vielzahl von Websites, E-Mail-Diensten und Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern, wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel Passwörter.

Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des Internetriesen Yahoo. Andere grosse Anbieter wie Apple, Amazon oder Microsoft gaben dagegen Entwarnung.

(pst/jcg/sda)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Raiffeisen Bank am 10.04.2014 19:31 Report Diesen Beitrag melden

    Betroffenheit...?

    Also die Raiffeisen Bank soll nicht betroffen sein...? Kann mir dann jemand erklären, wieso die Zertifikate am 8. April 2014 neu ausgestellt wurden?

    einklappen einklappen
  • serehcis trowssap am 10.04.2014 20:12 Report Diesen Beitrag melden

    Sicheres Passwort

    Ich habe immernoch das Passwort 123456 und mir wurde noch nichts gestohlen. Dafür gewinne ich regelmässig in internationalen Lotterien viel Geld. Hab denen meine Kontodaten gesendet aber warte leider immernoch auf mein Geld. Und auf sämtliche Anfragen wegen den Passwörtern per E-Mail habe ich jeweils die Daten korrekt angegeben und die neuen Zugangsdaten werde ich dann erhalten.

    einklappen einklappen
  • Roman am 10.04.2014 19:10 via via Mobile Report Diesen Beitrag melden

    Roman

    Was ist mit postfinance.ch?

    einklappen einklappen

Die neusten Leser-Kommentare

  • SysAdmin-Lehrling am 11.04.2014 12:05 Report Diesen Beitrag melden

    PFS ?

    sollte da lieber nicht PFS eingesetzt werden ? Die SSL-Zusatzfunktion verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des privaten Schlüssels kompromittiert wird. Im konkreten Fall wären die per OpenSSL verschlüsselten Daten demnach trotz der Sicherheitslücke weiterhin sicher. Sie könnten von Angreifern, die die Schwachstelle ausnutzen, um in den Besitz des Private Key zu kommen, nicht entschlüsselt werden.

  • Carlos am 11.04.2014 10:45 Report Diesen Beitrag melden

    Die Kehrseite von billig

    Obwohl Open Source Projekte einen relativ hohen Qualitätsstandard aufweisen, stellt sich hier die Frage nach den Verantwortlichkeiten. Der Schaden den Heartbleed verursacht hat, lässt sich nämlich nicht abschätzen und trägt zu einer weltweiten Verunsicherung bezüglich der Nutzung des Internets bei. Die Unschuld einer gesicherten Verbindung und Schutz persönlicher Daten ist dahin. Daher müssen sich Unternehmen wirklich fragen, ob sie auf solche Standards setzen wollen. Was geschieht, wenn sie mit Schadensersatzklagen konfrontiert werden. Auf eine Open Community zurückgreifen - wohl eher nicht

    • Frank Tschemmer am 12.04.2014 14:41 Report Diesen Beitrag melden

      Missversstaendniss

      OpenSource heisst nicht umsonst, sondern offener Code! Es steht auch jedem Anwender frei, sich an der Entwicklung zu beteiligen, auch finanziell via Spenden! Und was "solche Standards" betrifft, so ist gerade im Sicherheitsbereich NUR Open Source halbwegs vertrauenswuerdig!

    einklappen einklappen
  • Jo eBanking am 11.04.2014 09:43 Report Diesen Beitrag melden

    Soba vorbildlich

    Die SoBa hat auch schon ihr Zertifikat geändert. Sind kleinere Banken fixer als die grossen? Sie weisen auch darauf hin das PW zu ändern.

  • ITOperat0r am 11.04.2014 09:27 Report Diesen Beitrag melden

    "Sicherheit" ist relativ

    Auch wenn die Sicherheitslücke mittlerweile bei den wichtigsten Seiten behoben wurde, ist dies nicht die Garantie dass während den letzten 2 (!) Jahren keine Daten irgendwo abhanden gegangen sind oder gar von Dritten gesammelt und überwacht wurden.. *hust* NSA *hust* Denn wie von diversen Techportalen und auch 20Min bereits erklärt wurde, kann im Nachhinein nicht nachvollzogen werden, ob, wann und wie oft die Lücke ausgenutzt wurde, da es schlicht nicht zurückverfolgbar ist.. Gut gemacht, IT.

    • Rolf Gysling am 11.04.2014 10:46 Report Diesen Beitrag melden

      Seit Nov 13 ausgenutzt

      Es gibt Anzeichen, dass die Lücke bereits seit November 2013 ausgenutzt wurde. Somit können grossflächig Daten sowie Zugangsdaten und ggf. SSL Keys ausgespäht worden sein. Leider noch immer kein Infos zu Services aus dem B2B Umfeld welche zu einem grossen Teil auch über Webservices laufen und welche, je nach eingesetztem Produkt (z.B. JBoss mit APR), ebenfalls anfällig ist. Dort werden z.B. Bankdaten, Krankendaten, Steuern, Löhne, etc übermittelt... Davon hört man leider gar nichts.

    einklappen einklappen
  • Manfred am 11.04.2014 09:07 Report Diesen Beitrag melden

    Nächtstes Problem kommt vielleicht noch

    Leider fehlt in all diesen Medienartikeln eine Warnung vor dem, was wahrscheinlich noch kommen dürfte: Trittbrettfahrer. Denn es dürfte nicht lange dauern, bis die bekannten russischen, nigerianischen und/oder südosteuropäischen Banden mit Phishingmails loslegen, im Stil: "Wegen des bekannt gewordenen OpenSSL Problems müssen Sie untenstehenden Link anklicken um Ihr Passwort zu wechseln!". Da dürften wieder allzu viele User voll drauf reinfallen.