In der meistgenutzten Verschlüsselungs - Software OpenSSL steckt eine gravierende Sicherheitslücke, über die Angreifer Daten auslesen und abgreifen können. Vor allem die für SSL verwendeten Schlüssel der Nutzer sind betroffen und können gestohlen werden. Das Bundesamt für Sicherheit in der Informationstechnik ( BSI ) hat die Schwachstelle als kritisch eingestuft. Ein Update für die Betreiber von Webservern steht bereits zur Verfügung. Die Deutsche Telekom hat sofort reagiert und die Lücke unmittelbar nach Bekanntwerden geschlossen. Endnutzer können die Sicherheit ihrer Online-Dienste mit einem Test überprüfen.
Hacker stehlen 18 Millionen E-Mail-Adressen
Die SSL-Verschlüsselung gilt als besonders sicher und soll Daten beim Transport über das Internet vor Ausspähung und Diebstahl schützen. Dazu werden die Daten vor dem Senden mit einem privaten Schlüssel des Absenders verschlüsselt und sind dann für einen Angreifer unlesbar. Nur der berechtigte Empfänger kann die Daten mit einem weiteren Schlüssel wieder lesbar machen. Die schwerwiegende Sicherheitslücke in OpenSSL erlaubt Angreifern, den privaten Schlüssel zu stehlen.
"Das sind die Kronjuwelen", warnten die Experten von Google und dem Sicherheitsanalyse-Unternehmen Codenomicon, die den Bug entdeckten. Der I T-Nachrichtendienst Heise sprach von einem "Gau für Verschlüsselung im Web". "Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird", sagte Falk Garbsch vom Chaos Computer Club (CCC) der dpa . So könne ein Angreifer beispielsweise Passwörter stehlen.
Finden Sie jetzt neuen Job in der IT-Branche
Heartbleed blutet Informationen aus
Das Sicherheitsleck setzt direkt am Anfang einer Verbindung mit einem Webdienst an. Dort tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern "Heartbleed" genannt, weil er Informationen "ausblutet". Die Schwachstelle "erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben", schrieben die Entdecker.
Die SSL-Verschlüsselung kommt in den unterschiedlichsten Anwendungen zum Einsatz. Ob Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter, alle nutzen SSL-Verschlüsselung zum Schutz der Daten. Eine per SSL geschützte Datenübertragung per Browser erkennt der Nutzer an dem "https" in der Adresszeile. OpenSSL sei einer der am meisten genutzten Bausteine oder "Bibliotheken", sagte Garbsch vom CCC. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.
Update schließt Lücke ohne die Gefahr ganz zu bannen
OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. "Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah dieses Update durchführen", sagte Garbsch. Der normale Internetnutzer muss hier keine speziellen Maßnahmen ergreifen, denn SSL wird vor allem auf Servern von Internetdienstleistern betrieben.
Doch auch das Update schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das BSI rät daher Betreibern von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen.
Die zehn bösartigsten Computerviren aller Zeiten
Telekom hat sofort reagiert
Auch der E-Mail-Dienst der Deutschen Telekom und der Business Market Place waren von dem Fehler in der Verschlüsselungssoftware OpenSL betroffen. Unmittelbar nach Bekanntwerden hat die Telekom die potentielle Lücke geschlossen. Um den Kunden größtmögliche Sicherheit zu geben, tauscht die Telekom die serverseitigen SSL-Zertifikate aus und sperrt sie für den weiteren Gebrauch. Darüber hinaus werden weitere Dienste auf mögliche Verwundbarkeit geprüft.
Online-Dienste auf SSL-Lücke überprüfen
Internetnutzer können selbst testen, ob von ihnen besuchte Webseiten und genutzte Online-Dienste von der aktuellen Sicherheitslücke in der Software OpenSSL betroffen sind. Zwei Tests stehen derzeit im Internet unter den Adressen http://filippo.io/Heartbleed/ und possible.lv/tools/hb zur Verfügung.
Kanadische Regierung schließt Webseiten
Die kanadischen Finanzbehörden reagierten auf die Lücke , in dem sie am Mittwoch ihre Webseiten teilweise deaktivierten. Die Seiten sind zwar noch erreichbar, allerdings wurden alle Login-Funktionen und auch die Möglichkeit, Steuererklärungen über das Internet abzugeben, abgeschaltet. Damit solle "die Integrität der Informationen gesichert werden, die wir aufbewahren", hieß es in einer Notiz auf der Webseite der Canada Revenue Agency. Die Abschaltung kam drei Wochen vor Ablauf der Frist, bis zu der Steuererklärungen für 2013 abzugeben sind.
Davon abgesehen haben nur wenige Webseiten und Online-Portale zugegeben, von dem Fehler betroffen zu sein. Yahoo und Tumblr haben mitgeteilt, das "Heartbleed"-Problem gelöst zu haben. Tumblr gab seinen Nutzern einen ungewöhnlichen Rat: Sie sollten sich einen Tag krankmelden und sich die Zeit dafür nehmen, sämtliche Passwörter zu ändern – "insbesondere sicherheitsrelevante Dienste wie Email, Datenspeicherung, Online-Banking , die von diesem Fehler kompromittiert worden sein könnten."
Auch NSA hat Verschlüsselungstechniken im Visier
Wie ein so schwerwiegender Fehler in eine weit verbreitete Software kommen konnte, ist unklar. "Ob das darauf zurückzuführen ist, dass jemand absichtlich manipuliert hat, ist schwer zu sagen", meinte Garbsch. "Auszuschließen ist das nicht." OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.
Neben Hackern und Online-Kriminellen habe der US- Geheimdienste NSA laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt. Bereits im Dezember meldete die Nachrichtenagentur Reuters, dass die NSA das Unternehmen RSA – Entwickler eines anderen Verschlüsselungsverfahrens –10 Millionen Dollar gezahlt haben soll, damit in die Schlüssel-Algorithmen ein Fehler eingebaut wird. Dieser Fehler diene der NSA als Hintertür, um die Verschlüsselung von Daten zu knacken.
Weitere spannende Digital-Themen finden Sie hier.