Heartbleed: Entwarnung nach schwerer Sicherheitslücke

Berlin (dpa) - Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Einen Monat danach scheint das Schlimmste vorbei, allerdings haben noch nicht alle Betroffenen reagiert.

Foto: dpa

Entwarnung bei der Sicherheitslücke Heartbleed? Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die wichtigsten Webseiten inzwischen reagiert und die Sicherheitslücke geschlossen. Andere Beobachter warnen jedoch weiterhin: Laut dem Dienstleister für Internetsicherheit Erratasec waren am 8. Mai 2014 immer noch mehr als 300 000 Webseiten weltweit unsicher - gut einen Monat nach bekanntwerden der Sicherheitslücke. Der im gleichen Bereich tätige Dienstleister Netcraft monierte, dass noch nicht einmal die Hälfte der betroffenen Webseiten ihre Zertifikate ausgetauscht hätten.

Beide Meldungen offenbaren ein grundsätzliches Problem. Die Sicherheitslücke Heartbleed war nicht nur gravierend, sondern hatte auch weitreichende Folgen für die Betroffenen. Der Fehler in der Kryptographiesoftware OpenSSL war zwar schnell behoben. Die fehlerhafte Software auszutauschen, reicht aber nicht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptographischen Schlüssel auslesen. Die wiederum werden in Zertifikate integriert. Die Zertifikate werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Administratoren betroffener Webseiten oder E-Mail-Anbieter müssen demnach zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Der Aufwand ist also nicht unerheblich. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein „Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzen, Opfer dort hinlocken und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite“. Das Opfer könne dann seine Passwörter auf der gefälschten Seite eingeben oder Schadsoftware herunterladen.

„Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen“, hieß es beim BSI. Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagte auch der Kryptographieexperte und Fachjournalist Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne und das Zertifikat dann trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Webseite oder ein E-Mail-Anbieter muss schließlich noch seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Denn hat ein Einbrecher die privaten Schlüssel ausgelesen, kann er den Datenverkehr mitschneiden und dabei die Passwörter der Besucher auslesen. Besonders betroffen sind dann Anwender, die das gleiche Passwort auch für andere Internetdienste nutzen. „Viele große Anbieter haben darauf hingewiesen, schon allein, um eventuelle Haftungsfragen auszuschließen“, erklärte das BSI.

Nach geltendem Datenschutzrecht müssen Einbrüche auf Plattformen, bei denen Daten gestohlen wurden, den Datenschutzbehörden gemeldet werden. Andernfalls drohen Bußgelder von bis zu 300 000 Euro. „Dem BSI wurden keine Vorfälle aus Deutschland gemeldet“, hieß es aus der Behörde. Immerhin gaben auch große Internetkonzerne wie Google mit seinem E-Mail-Dienst Gmail an, von dem Heartbleed-Fehler betroffen zu sein. Dort waren die Lücken aber geschlossen, noch bevor die Heartbleed-Lücke öffentlich bekannt wurde. Google-Mitarbeiter hatten den Fehler gleichzeitig mit zwei unabhängigen Experten entdeckt.

Möglicherweise führte die massive Aufmerksamkeit zu einer so raschen Reaktion der meisten Betroffenen, dass potentielle Angreifer kaum Zeit hatten, die Sicherheitslücke effizient auszunutzen. Der einzige bekannte Fall war der einen kanadischen Hackers, der sich über die Heartbleed-Lücke Zutritt zu Finanzbehörden verschaffte. Er wurde kurz darauf verhaftet.

Dennoch gibt es immer noch Grund zur Vorsicht: Vor allem über Links in Spam-Mails können Anwender auf gefälschte Webseiten gelangen, die mit bereits ungültigen Zertifikaten vom Browser als vertrauenswürdig eingestuft werden. Vermeintlich gesicherte Webseiten sollten beim ersten Besuch genau betrachtet werden, oft sind dort Unregelmäßigkeiten erkennbar, etwa sprachliche Fehler. Generell scheint es aber Entwarnung beim Heartbleed-Fehler zu geben. Erfahrungsgemäß bleibe zwar auch immer ein gewisser Prozentsatz an nicht-aktualisierten Seiten übrig, man rechne jedoch nicht mehr mit massiven Fällen, hieß es beim BSI.