Handelsblatt

MenüZurück
Wird geladen.

10.10.2014

16:00 Uhr

Sicherheitslücke Heartbleed

Der Schock wirkt noch nach

VonChristof Kerkmann

Heartbleed ist nicht mehr in den Schlagzeilen – und trotzdem noch ein Problem. Viele Webseiten sind noch immer nicht gegen die Schwachstelle in der Verschlüsselungssoftware OpenSSL abgesichert. Eine Zwischenbilanz.

Logo der Sicherheitslücke Heartbleed: Ein halbes Jahr nach der Entdeckung sind immer noch Webseiten verwundbar. dpa

Logo der Sicherheitslücke Heartbleed: Ein halbes Jahr nach der Entdeckung sind immer noch Webseiten verwundbar.

Es klingt nach einer unglücklichen Liebe, ist aber eine riesige Sicherheitslücke: Heartbleed jagte der Internetbranche im April einen mächtigen Schock ein. Der Programmierfehler in der Verschlüsselungssoftware OpenSSL ermöglichte es Angreifern, auf vermeintlich geschützte Informationen zuzugreifen, etwa Passwörter oder Kontodaten. Zahllose Webseiten und Internet-Dienste waren verwundbar, darunter namhafte Unternehmen wie Google, Yahoo und Dropbox.

Inzwischen hat sich die Aufregung gelegt. Doch eine Zwischenbilanz nach einem halben Jahr fällt bestenfalls gemischt aus: Gerade die großen Unternehmen haben schnell reagiert, dennoch sind noch mehrere Hunderttausend Systeme ungeschützt – und sie dürften es vermutlich auch noch länger bleiben.

Was ist Heartbleed?

Was ist Heartbleed?

Heartbleed ist der Name für eine Sicherheitslücke in der Software OpenSSL. Dabei handelt es sich um einen Baukasten für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll.

Warum ist das Problem so gravierend?

SSL-Verschlüsselung wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Sicherheitsexperte Bruce Schneier sprach daher von einem „katastrophalen Fehler“.

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag.

Wie kann sie ausgenutzt werden?

Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler „Heartbleed“, weil er Informationen „ausblutet“.

Was können Angreifer tun?

Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann an sich sichere Kommunikation mitlesen und beispielsweise auch sensible Daten ausspähen.

Ist der Fehler nicht behoben?

Es gibt längst ein Update, um OpenSSL abzusichern. Nicht alle Website-Betreiber haben es aber eingespielt. Zudem müssen sie auch die Zertifikate austauschen, die bei der Verschlüsselung zum Einsatz kommen – denn zumeist kann nicht zweifelsfrei ausgeschlossen werden, dass diese gestohlen wurden.

Genaue Zahlen lassen sich nur unter großem Aufwand ermitteln. Doch einige Studien liefern Anhaltspunkte. So haben die beiden deutschen Forscher Christoph Sorge und Nils Gruschka untersucht, ob auf den beliebtesten 20.000 Seiten der Welt noch die alte, unsichere Software zum Einsatz kommt. Als Grundlage nahmen die Professoren aus Saarbrücken und Kiel die Liste des Statistikdienstes Alexa. Ende September waren davon 215 verwundbar, von den rund 500 Adressen mit der deutschen .de-Endung jedoch nur eine.

Zudem haben die Forscher überprüft, ob die Website-Betreiber nach der Software-Aktualisierung auch die kryptografischen Schlüssel sowie die Zertifikate ausgetauscht haben – beides ist gleichzeitig nötig, um die Informationen für Außenstehende unleserlich zu machen. „Geschieht das nicht, ist das mindestens ein handwerklicher Fehler“, sagt Gruschka, der an der Fachhochschule Kiel den Studiengang Informationstechnologie und Internet leitet. Unter den 100 beliebtesten deutschen Webseiten mit .de-Endung waren das immerhin drei.

Fazit: Die beliebtesten deutschen Webseiten sind weitgehend geschützt. „Bei kleineren Anbietern wird es vermutlich noch mehr Probleme geben, aber insgesamt sieht es bei den deutschen Webseiten gut aus“, sagt Sorge, der einen Lehrstuhl an der Universität des Saarlandes hat.

Dieser Eindruck bestätigt sich auch international. Ein Team von elf Forschern mehrerer amerikanischer Universitäten stellte in einer groß angelegten Untersuchung fest, dass ein Großteil der Website-Betreiber bereits in den ersten zwei Wochen Updates einspielte. Ein kleiner Anteil ignorierte aber offenbar alle Warnungen: Nach zwei Monaten waren noch drei Prozent verwundbar. Von den betroffenen Portalen ersetzten zudem nur 10 Prozent die Zertifikate. Die Schlussfolgerung: Wer die Lücke jetzt noch nicht geschlossen hat, wird es vermutlich auch nicht so bald tun.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Clemens Keil

10.10.2014, 13:25 Uhr

Was Vorstand und Firmeninhaber über die Sicherungsmöglichkeiten der heutigen IT-Infrastruktur wissen sollten (und das sind die wirklichen Probleme):
Zwar liegen Ihre "Kronjuwelen" (sprich: Blaupausen, Erfindungen,...) in einem "Safe", gehen Sie aber davon aus, dass der eine oder andere Spionagedienst Zweitschlüssel besitzt.
Zwar sind Ihre Know-how-Träger verschwiegen, gehen Sie aber davon aus, dass der eine oder andere Spionagedienst mitliest, was sie auf ihrem PC so treiben.
Zwar mögen Preisinformationen und Kalkulationen Ihrer Produkte und/oder Dienstleistungen geheim sein, gehen Sie aber davon aus, dass der Stempel geheim den einen oder anderen Spionagedienst geradezu anlockt, Ihr Geheimnis zu enttarnen.
Gehen Sie davon aus, dass die IT-Industrie Sie in - falscher - Sicherheit wägen will.
Gehen Sie davon aus, dass auch persönliche Daten bei anderen Firmen und Behörden, trotz gegenteiliger Beteuerungen, von interessierter Seite abgegriffen werden (jüngstes Beispiel: bayerische Steuerbehörden - guten Morgen Herr Söder!).
Gehen Sie davon aus, dass die Sicherheitsempfehlungen sogenannter IT-Experten funktional zwar richtig und berechtigt sind, aber aus einer integrierten Gesamtsicht heraus unvollständig und lückenhaft sind.
Gehen Sie davon aus, dass die Stellen, die sich unberechtigterweise Zugang zu Ihren Daten verschafft haben, auch Fehler machen (z.B. Ihre Daten nicht sicher aufbewahren, Identitäten vertauschen, etc).
Wenn Sie sich von diesem Schock erholen wollen, empfehle ich Ihnen die NSA-Trilogy des Singer-Songwriter's Sigismund Ruestig:

http://youtu.be/v1kEKFu6PkY
http://youtu.be/pcc6MbYyoM4
http://youtu.be/_a_hz2Uw34Y

Viel Spaß beim Anhören.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×