News-Archiv

Millionen Nutzer durch OpenSSL-Lücke Heartbleed gefährdet

von Jan Reichelt (Kommentare: 0) #Heartbleed #OpenSSL #SSL #ITmitSicherheit

Es klingt nach Herzschmerz, hat damit jedoch wenig zu tun. Vielmehr handelt es sich um eine äußerst kritische Sicherheitslücke mit fatalen Folgen in Sachen Passwort-Zugriff.

Wie heise.de im Artikel "Passwort-Zugriff: Heartbleed-Lücke mit katastrophalen Folgen" berichtet, waren 628 der meistbesuchten Websites anfällig für den SSL-Bug, der auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter erlaubt. Darunter auch prominente Namen wie die HypoVereinsbank, Yahoo, Flickr, Kaspersky, AfterBuy, web.de und viele viele mehr. Einige - und dies ist besonders dramatisch - sind es sogar noch immer.

Das tatsächliche Ausmaß und die Folgen sind vermutlich noch lange nicht absehbar. Grundsätzlich muss davon ausgegangen werden, dass alle vertraulichen Daten, die über die betroffenen Server gelaufen sind, komprommitiert wurden. 

Es besteht die Gefahr, dass eine massive Welle von Missbrauch bekannt wird. Bei einigen Diensten häufen sich bereits die Fälle von gehackten Accounts.

Wie heise.de weiter berichtet, sind die aktuellen Apple-Betriebssystem OS X und iOS nicht betroffen, da Apple nach wie vor die alte OpenSSL-Version 0.9.8 in seinen Betriebssystemen verwendet. Allerdings wird auch für Apple zur Vorsicht geraten - manche verwendete Apps können die Bilbliothek auch intern verwenden. Android Nutzer mit Version 4.1.1 (erstes Jelly Bean Update) sind ebenfalls anfällig - bei späteren Versionen hat Google die "Heartbeat"-Funktion komplett abgeschaltet.

Wir empfehlen daher allen unseren Lesern, Kunden und Followern, sämtliche im Internet genutzten Passwörter umgehend zu ändern.

Eine interessante Liste aktuell als betroffen bekannter Seiten und Dienste finde sich auf der Mashable - The Heartbleed Hit List. Hier finden sich auch weitere prominente Namen wie Facebook, GMail, Dropbox und weitere Anbieter, welche bei vielen Benutzern zur Grundausstattung gehören.

UPDATE 11.04.2014
Einen Test, ob ein Webserver (z.B. der Bank) betroffen ist, kann man über die Seite https://sslcheck.globalsign.com/de/sslcheck (hier mit dem Beispiel Facebook) durchführen. Ein Rating von A oder A- sollte erreicht werden.

Alle Angaben ohne Gewähr.

Zurück

Einen Kommentar schreiben