Heartbleed-Bug

09. April 2014 14:49; Akt: 09.04.2014 14:49 Print

E-Banking ist in den nächsten 48 Stunden tabu

Durch eine gravierende Lücke bei OpenSSL können Hacker Passwörter und Kreditkartendaten unverschlüsselt mitlesen. Der Bund warnt vor den Folgen.

storybild

Sensible Daten sollten die nächsten 48 Stunden nicht übers Internet übermittelt werde, warnt die Melde- und Analysestelle Informationssicherheit (MELANI) in Bern.

Zum Thema
Fehler gesehen?

Diese Nachricht hat eingeschlagen wie eine Bombe: Der Bug namens Heartbleed ist eine Art Super-Gau für Systemadministratoren und bringt derzeit IT-Spezialisten rund um den Globus zum Hyperventilieren. Der Grund: Das blutende Herz gefährdet bisher als sicher angesehene verschlüsselte Verbindungen über OpenSSL.

Dieser Begriff mag den wenigsten etwas sagen, doch praktisch alle nutzen täglich gesicherte Verbindungen: beim Lesen von E-Mails, beim Einkaufen in Online-Shops, bei der Nutzung von sozialen Netzwerken wie Facebook, oder auch beim E-Banking. Die gesicherten Verbindungen erkennt man meist in der Adresszeile des Browsers, wo «https» statt «http» steht.

Die schwerwiegende Sicherheitslücke macht diese nun verwundbar: Hacker könnten über den Bug auf Webserver gelangen, dort den privaten Schlüssel abgreifen und so im grossen Stil an Informationen wie zum Beispiel Passwörter oder Kreditkartendaten gelangen. Durch die Lücke können Angreifer «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Website zu sein», hiess es auf der Internetseite Heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.

«Man sollte das Internet meiden»

Die Melde- und Analysestelle Informationssicherheit (MELANI) in Bern richtete eine Warnung an die Internetnutzer. Der stellvertretende MELANI-Leiter Max Klaus sagte am Mittwoch zu Radio SRF, er empfehle, in den nächsten 48 Stunden auf alle Übermittlungen sensibler Daten im Internet — dazu zähle E-Banking — wenn möglich zu verzichten.

Sicherheitsforscher der Firma Fox-IT haben die Lücke diese Woche publik gemacht. Schätzungen zufolge sind rund die Hälfte aller Webserver weltweit gefährdet. «Wenn Sie auf eine starke Anonymität und Privatsphäre angewiesen sind, sollten Sie in den nächsten Tagen das Internet meiden», heisst es im Blog des Anonymisierungsdienstes Tor. Der Fehler soll bereits seit zwei Jahren bestehen.

Administratoren müssen nun handeln

Ob die Lücke während dieser Zeit ausgenutzt wurde, ist schwer zu sagen, da solche Angriffe nur schwer nachzuweisen sind. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben.

Da OpenSSL — auch für kommerzielle Nutzung — gratis ist, ist das Protokoll weit verbreitet. Betroffen sind darum nicht nur Websites, sondern auch Chat-Dienste, Apps oder potenziell auch smarte Geräte, die über OpenSSL kommunizieren. Gefordert sind nun vor allem Systemadministratoren: Sie müssen bereits verfügbare Updates für OpenSSL so schnell wie möglich installieren. Der Internetuser bleibt indes hilflos zurück und muss hoffen, dass die Betreiber von Webservern ihre Hausaufgabe machen.

(tob/sda)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • olaf/olafson am 09.04.2014 16:06 Report Diesen Beitrag melden

    Bankkonto Blank

    Jetzt ist mir klar, weshalb mein Bankkonto leergeräumt ist. Ich dachte immer, dass sei wegen mir.

  • Omay Gohd am 09.04.2014 16:59 Report Diesen Beitrag melden

    «Man sollte das Internet meiden»

    «Wo hast du das gelesen?» «Im Internet!»

  • ITOperat0r am 09.04.2014 22:41 via via Mobile Report Diesen Beitrag melden

    Sowieso schon zu spät..

    Wenn so eine Sicherheitsfirma wie FOX-IT schlau genug ist den Fehler zu finden, werden sie wohl nicht so dumm sein dies zu Veröffentlichen, bevor die (für sie) wichtigsten Betroffenen informiert sind.. Deshalb sind nun auch die meisten Systeme wieder auf dem neusten Stand. Was aber in den letzten 2 Jahren mit unseren Daten passiert ist kann und will natürlich niemand erklären..

Die neusten Leser-Kommentare

  • J. Meyer am 10.04.2014 10:35 Report Diesen Beitrag melden

    übertriebene panikmache

    Denke schon, das die Warnung ernst zu nehmen ist, aber ebenso ist es auch eine Hysterie. Schliesslich soll das Leck schon seit über 2 Jahren bestehen u kaum jemand merkte davon irgend etwas, oder doch? Sind Gelder plötzlich von Konten verschwunden oder ist mit fremden Accounts eingekauft worden in Massen? Auf der Homepage von Heartbleed wurde postfinance oder die Banken wie einige Server als sicher gemeldet, 20min hingegen nicht. Denke mir, trotz der Ernsthaftigkeit ist das dennoch eine übertriebene Panikmache.

  • Antonio Giovenni am 10.04.2014 09:37 Report Diesen Beitrag melden

    Zwängerei

    der Banken alles nur noch Online sonst kostet es zusätzlich Spesen aber dann weiss man nicht mehr wer alles plötzlich Zugriff auf meine Daten hat und wenn dann mein Geld weg ist bin ich dann als Benutzer schuldig. Irgendwann kracht das ganze zusammen.

    • S.A. am 10.04.2014 13:13 Report Diesen Beitrag melden

      Keine Zwängerei ...

      sondern Abzockerei!

    einklappen einklappen
  • E.B. am 10.04.2014 08:26 via via Mobile Report Diesen Beitrag melden

    E-Banking

    Leute, die deswegen auf E-Banking verzichten oder ihren Kontostand beklagen, haben das Problem nicht verstanden. Mit dem Bug konnten Daten ausgelesen werden (auch Passwörter). Damit lässt sich noch lange kein Geld abheben oder überweisen. Zumindest in der Schweiz reicht das nicht für eine erneute Anmeldung. Genau darum haben wir ja diese Gerätli zum Anmelden bekommen.

  • thom am 10.04.2014 08:07 Report Diesen Beitrag melden

    meine güte...

    So einfach wies hier einem glauben und verstehen lassen ist es nicht an solche Daten ran zu kommen geschweige den einem durch solch eine Lücke einem das Geld zu mopsen! diese Panik macherei ist wieder mal unnötig! aber super Zündstoff für jeden Hobby ITler der sein wissen mittels PCTipp am Kiosk angeeignet hat..

  • Sandra am 10.04.2014 07:21 Report Diesen Beitrag melden

    beabsichtigtes Sicherheitsloch

    dank der bewusst eingebauten Lücke in Open SSL hat der Staat nun von allen Bürgern den Zugriff auf die Mail Konten und die Staatsangestellten können mit den Daten machen was sie wollen.