Die Lücke ermöglichte es, Passwörter sowie Verschlüsselungs-Codes zu stehlen. Konkret konnte ein Angreifer einen Teil des Speichers eines Servers ausspionieren, in dem sich die von Benutzern übertragenen Daten kurzzeitig befinden, erklärte die Melde- und Analysestelle Informationssicherheit (MELANI) in einem Communiqué vom Mittwoch, nachdem die Sicherheitslücke in den USA publik geworden war.
Es seien nicht nur Mailprovider oder Finanzinstitute (E-Banking, Kreditkartentransaktionen) betroffen, sondern auch andere Webportale wie Webshops oder Krankenkassenportale, die ein verschlüsseltes Login anbieten und die verwundbare Software einsetzen.
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. Betroffen sind die meisten Internet-Verbindungen, die mit https:// beginnen. Es können aber auch nicht browserbasierte, verschlüsselte Dienste betroffen sein wie Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste oder VPN-Zugänge.
Verzichten oder zumindest abklären
Der stellvertretende MELANI-Leiter Max Klaus sagte zu Radio SRF, er empfehle, in den nächsten 48 Stunden auf alle Übermittlungen von sensiblen Daten im Internet - darunter E-Banking - wenn möglich zu verzichten.
Ganz so weit würde Peter Fischer, Leiter des Kompetenzzentrums Informationssicherheit der Hochschule Luzern, nicht gehen. Es reiche aus, Webdienste vor Benutzung auf der Seite http://filippo.io/Heartbleed/ abzufragen und zu prüfen, ob der gewünschte Server noch verwundbar sei.
Am Mittwochmittag waren dort etwa noch bluewin.ch und credit-suisse.com als verletzlich eingestuft. Gegen Abend wurden beide Anbieter als scheinbar sicher eingestuft.
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. /
Ihnen stand eine korrigierte Version von OpenSSL zur Verfügung.
Informationssicherheits-Experte Fischer riet dennoch, alle für Online-Anmeldungen verwendeten Passwörter umgehend auszuwechseln und für die verschiedenen Dienste je ein anderes Passwort zu setzen.
Seit zwei Jahren
Die «Heartbleed» (Herzbluten) getaufte Sicherheitslücke ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde. Angreifer konnten «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein», hiess es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.
Hacker konnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, ohne Spuren zu hinterlassen, erklärte der US-Internetspezialist Fox-IT.
Behörden und Sicherheitsbehörden haben Betreiber von Webservern, die OpenSSL benutzen, aufgerufen, sofort auf die neueste Version einzusetzen. Zugleich sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden.
Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, blieb unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.
