„Heartbleed“-Lücke noch nicht überall geschlossen
Berlin (dpa) - Die Sicherheitslücke „Heartbleed“ ist noch nicht überall beseitigt. Gerade kleinere Webdienste hätten die neue Version von OpenSSL noch nicht auf ihren Servern installiert, warnt das BSI.
Einige Internetdienste haben die gravierende Sicherheitslücke „Heartbleed“ auch nach einer Woche noch nicht geschlossen. Das betreffe besonders kleinere Webseiten, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn am Mittwoch (16. April). Einzelne Dienste nannte die Behörde nicht.
Der schwerwiegende Fehler in der Verschlüsselungssoftware OpenSSL erlaubt es Angreifern, Daten von Webservern auszulesen. Das können Passwörter sein oder Informationen, die eigentlich zum Schutz von Daten gegen Ausspähen genutzt werden.
Die Lücke war vor gut einer Woche bekannt geworden. Sie hatte unter Sicherheitsexperten für Aufruhr gesorgt. Um sie zu schließen, müssen Betreiber von Webdiensten eine neue Version von OpenSSL auf ihren Servern installieren. Das hätten viele kleine Anbieter bisher versäumt, warnte das BSI.
Das sei besonders kritisch, denn Angreifer hätten sich mittlerweile gezielt auf die Suche nach verwundbaren Diensten begeben. Besonders E-Mail-Dienste würden ins Visier genommen. Das BSI empfiehlt daher, Server für E-Mails, Video- oder Telefonkonferenzen auf die Lücke zu überprüfen und sie gegebenenfalls zu schließen. Auch in manchen Routern, die eine Verbindung ins Internet herstellen, sei der Fehler noch zu finden. Sobald betroffene Online-Dienste die Lücke geschlossen haben, sollten Verbraucher ihre Passwörter ändern, raten Experten.
Jüngst hatten auch die Fotoplattform Pinterest, der Blog-Dienst Tumblr und der Passwort-Manager LastPass ihre Nutzer zum Wechsel der Kennwörter aufgefordert. Die IT-Sicherheitsfirma McAfee startete eine Testseite, auf der man prüfen kann, welche Web-Dienste die Schwachstelle bereits behoben haben.
Das ist wichtig, denn erst bei geschlossener Sicherheitslücke lohnt sich ein Passwortwechsel. Durch die Schwachstelle in OpenSSL können Angreifer auf vermeintlich gesicherte Daten zugreifen.