International

"Heartbleed" – Behörden zeigen seltsame Trägheit!

"Heartbleed" – Behörden zeigen seltsame Trägheit!
Der Programmierfehler berührt den Herzschlag der OpenSSL. Foto: rf-news

17.04.14 - Nachdem im Februar 2014 ein fataler Fehler die Nutzer von Apple-Geräten beunruhigte ("Goto Fail"), ist mit der erst seit dem 7. April 2014 veröffentlichten Sicherheitslücke "Heartbleed" faktisch die gesamte sicherheitsrelevante Kommunikation über das Internet in Gefahr. Es geht um eine Lücke in der offenen Software OpenSSL, mit der die sichere Kommunikation z.B. beim Online-Banking, beim Zugriff auf Mail-Dienste im Internet oder auch die Eingabe von vertraulichen Daten in Formularen beim Interneteinkauf gesichert wird. Ein Angreifer, der diese Lücke ausnutzt, kann vom Rechner einer Bank etc. den geheimen Teil des Schlüssels, Passwörter und -sätze klauen.

Dieser Fehler konnte seit zwei Jahren ausgenutzt werden. Ob dies tatsächlich passiert ist, kann kaum festgestellt werden. Das liegt daran, dass derartige Angriffe keine Spuren hinterlassen wie z.B. ein Trojaner, der ja auf dem Rechner installiert sein muss.

Die berüchtigte US-Überwachungsorganisation "National Security Agency" (NSA) gab letztes Jahr 254,9 Mio. US-Dollar für ein Programm namens "Ballrun" aus, das es ermöglicht, die Kommunikation über das Internet zu knacken. Dank Edward Snowden sind Details bekannt geworden. Darum wundert es auch nicht, wenn sich jetzt die gesamte Geheimdienstbranche äußerst schmallippig gibt. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik gibt nur eine kurze technische Beschreibung und Hinweise zur Behebung der Sicherheitslücke auf seiner Webseite

Das gibt auch deshalb zu denken, weil die Pressemitteilungen über die Millionen gestohlener E-Mail-Adressen und Passwörter viel größeren Raum einnahmen. Klar ist, dass heutzutage 90% aller geheimdienstlichen Erkenntnisse aus der Internetkommunikation gewonnen werden. Das Interesse der Geheimdienste, das an derartigen Sicherheitslücken besteht, ist offensichtlich. So lange das eigene Netz nicht berührt ist.

Wie kann man sich schützen?

Das Zertifikat einer Website kann man durch Eingabe auf https://filippo.io/Heartbleed/ überprüfen. Ob der eigene Browser richtig mit den Zertifikaten umgeht und bemerkt, wenn sie ungültig bzw. zurückgezogen sind, kann man mit der Seite www.cloudfarechallenge.com testen. Im Internet findet man entsprechende Hinweise, wie man seinen Browser einstellen muss, damit er die Seite zurückweist. Denn wenn man sie sehen kann, ist der Browser nicht sicher eingestellt.

Zuletzt ist es spätestens jetzt an der Zeit, alle Passwörter für E-Mail, Internetbanking, Onlineshopping etc. neu zu erstellen und dabei die Hinweise für starke Passwörter ernst zu nehmen.

Auch wenn man bei der Verschlüsselungssoftware pgp (Pretty Good Privacy) oder Gnupgg niemals hunderprozentig sicher sein kann, sind sie doch bei maximaler Schlüssellänge eine gute Hilfe. Dabei muss man allerdings sagen, dass alle aus den USA stammende Software mit Vorsicht zu genießen ist, da diese Firmen durch die NSA gezwungen sind, Hintertüren einzubauen.