OpenSSL – wichtige Informationen und Hinweise zur Sicherheit

Von Stefan

Viele Webserver, E-Mail-Programme und auch Chat-Programme laufen mit der Verschlüsselungssoftware OpenSSL. Dieses ist kostenlos und macht die Kommunikation erst möglich. Das Programm arbeitet unauffällig im Hintergrund und wahrscheinlich hat sich kaum ein Nutzer Gedanken darüber gemacht. Allerdings wurde vor einiger Zeit bekannt, dass die OpenSSL-Versionen 1.0.1 bis 1.0.1 f nicht mehr sicher sind, da hier eine Sicherheitslücke entdeckt wurde. 

Fehler in der Verschlüsselungssoftware
In der Verschlüsselungssoftware OpenSSL wurde ein Fehler entdeckt, der den Namen Heartbleed trägt. Durch diesen Fehler können Angreifer sensible Daten stehlen, die eigentlich sicher verschlüsselt sein sollen. Glaubt man den Experten, so ist dies wohl eine der bisher schwersten Sicherheitslücken, die bisher dagewesen sind. Diesen Fehler gibt es im OpenSSL, schon mehr als zwei Jahre. Allerdings wurde er erst jetzt entdeckt und konnte so auch vorher nicht behoben werden. Das heißt aber auch, das in diesen zwei Jahren vielleicht sämtliche durch die Software übertragenen Dateien abgefangen werden konnten. Daher wird auch vermutet, dass von dieser Gefahr etwa zwei Drittel aller Webseiten betroffen sein können. Daher wird dem Nutzer solcher Webseiten, wie:

  • Yahoo
  • OKCupid.om
  • Flickr.com
  • Hidemyass.com
  • Google

dringend empfohlen, die Passwörter zu ändern. Selbstverständlich sind solche Betreiber wie Google oder Yahoo sehr bestrebt, diese Sicherheitslücke sofort zu schließen.

Wie kommt es zur Sicherheitspanne?
Im Code der TLS, also der Transportverschlüsselung, im Programmteil Heartbeat, steckt die Sicherheitslücke. Dieser Programmteil der Transport Layer Security, vorher SSL, soll eigentlich dafür sorgen, dass für eine gewisse Zeit die Verschlüsselung bestehen bleibt und eben nicht ständig neu initialisiert werden muss. Da dieser Programmteil aber einen Funktionsfehler hat, können private Informationen von Arbeitsspeicher des Webservers durch Hacker abgegriffen werden. Durch den Heartbeat-Bug können Angreifer in die eigentlich sicheren Systeme eindringen und die Speicher dann auslesen. Mit jedem Angriff können so 64 Kilobyte an Daten ausgelesen werden. Dabei geht es nicht nur darum, vielleicht den einen oder anderen Chatverlauf mitlesen zu können, sondern es werden auch Passwörter, persönliche Daten und auch Kreditkartendaten geklaut. Der Nutzer selbst bekommt von einem solchen Angriff nichts mit.

Was Nutzer tun können und sollten
Natürlich sind die Betreiber der betroffenen Webseiten sehr bestrebt, den Fehler zu beheben. So gibt es auch neue Zertifikate für die SSL-Verschlüsselung. Der Version OpenSSL 1.0.1g ist eine neue Version, welche nach der Entdeckung des Fehlers herausgebracht wurden und so also auch nicht von dem Problem betroffen ist. Allerdings gibt es auch Zweifel daran, ob denn ein solches Update ausreicht.Weitere Informationen sind Sie hier: Antivirus Test

Der Nutzer sollte auf jeden Fall nur solche Webseiten nutzen, die ein SSL-Zertifikat besitzen, das nach der Entdeckung der Lücke in der Sicherheit ausgestellt wurde. Zudem ist es aber auch sehr wichtig, dass die Passwörter von E-Mail-Konten vom Nutzer sofort geändert werden. Sicherheitshalber für alle E-Mail, vor allem aber für die Mails von:

  • Yahoo
  • Facebook
  • Twitter
  • Tumbl
  • eBay
  • Amazon Web Service
  • OKCupid
  • Wunderlist

und einigen mehr. Auch sollte App-Nutzer ihre nicht mehr genutzten Apps löschen und ihre Zugangsberechtigungen regelmäßig überprüfen.