«Jedermann sollte die Online-Passwörter ändern»

In einer weit verbreiteten Sicherheitssoftware klafft eine grosse Lücke, genannt «Heartbleed». Die Nutzer sollten ihre online genutzten Passwörter ändern, rät ein Sicherheitsexperte.

Internetnutzern wird empfohlen die Passworte zu wechseln: Computer-Bildschirm. (Symbolbild)

Internetnutzern wird empfohlen die Passworte zu wechseln: Computer-Bildschirm. (Symbolbild)

(Bild: Keystone)

Mathias Born@thisss

Das Schlösschen steht für Sicherheit. Ob beim E-Mailen oder beim E-Banking – wenn das Symbol bei der Adresszeile des Browsers eingeblendet wird, kann man davon ausgehen: Die Kommunikation zwischen dem eigenen Computer und dem Zentralrechner ist gesichert. Mitlesen ist deshalb schier unmöglich.

Doch der Schein trügt: In der Softwarebibliothek OpenSSL, mit der rund drei Viertel aller Webserver Daten verschlüsseln, gab es bis vor wenigen Tagen ein gravierendes Leck. Sicherheitsspezialisten der Firmen Google und Codenomicon haben die Schwachstelle entdeckt. Sie haben sie gleich wie die fehlerhafte Programmfunktion getauft: «Heartbleed», also Herzbluten.

Schlüssel lässt sich klauen

Angreifer können wegen des Fehlers den Arbeitsspeicher des Webservers stückweise lesen. So lassen sich mit etwas Hartnäckigkeit und Glück etwa Passwörter, E-Mails oder Bankkontendaten ergattern. Noch schlimmer ist indes: Angreifer kommen durchs Leck auch an die geheimsten Daten des Webservers heran: An den privaten Schlüssel. Wer diesen besitzt, kann jede aktuelle und jede aufgezeichnete, frühere Kommunikation entschlüsseln.

«‹Heartbleed› ist die gravierendste Verschlüsselungslücke seit langer Zeit», sagt Nicolas Mayencourt, Geschäftsführer des Berner IT-Sicherheitsunternehmens Dreamlab. Besonders fatal sei, dass sich die Lücke in einer so weitverbreiteten und renommierten Bibliothek befinde und dass sie sich einfach ausnutzen lasse, ohne dass man dabei eine Spur hinterlässt. Wie der fehlerhafte Code in die Software gelangt ist, ist noch nicht klar.

Update und neuer Schlüssel

«Für normale Nutzer ist das Leck ziemlich perfid», so Mayencourt, «denn sie können es nicht selber stopfen.» Das müssen die Anbieter der Webdienste tun: die Betreiber von E-Mail-Services, die Finanzinstitute, die E-Banking anbieten, oder die Kantone, die Plattformen zum Ausfüllen der Steuererklärung betreiben.

Wenn diese OpenSSL einsetzen, müssen sie das Paket aktualisieren. Das allein genügt nicht: Sie müssen auch die Sicherheitszertifikate des Servers erneuern. «Alle seriösen Anbieter haben in den letzten drei Tagen unter Hochdruck am Problem gearbeitet. Die meisten haben das ‹Heartbleed›-Leck nun gestopft.»

Trotzdem tue man als Nutzer gut daran, dem Anbieter auf die Finger zu schauen, rät Nicolas Mayencourt (siehe Tipps im Kasten). «Denn Kontrolle ist besser als Vertrauen.» Und noch eine unliebsame Aufgabe wartet auf die Nutzer: «Jedermann sollte die im Web benutzten Passwörter abändern.»

Berner Zeitung

Diese Inhalte sind für unsere Abonnenten. Sie haben noch keinen Zugang?

Erhalten Sie unlimitierten Zugriff auf alle Inhalte:

  • Exklusive Hintergrundreportagen
  • Regionale News und Berichte
  • Tolle Angebote für Kultur- und Freizeitangebote

Abonnieren Sie jetzt