Der Heartbleed Bug ist noch immer gefährlich!

Die Gefahr nimmt kein Ende: Nun ist es schon knapp ein Vierteljahr her dass der Heartbleed Bug bekannt wurde. Dabei handelt es sich um die gravierendste Sicherheitslücke in der Geschichte des Internets. Das Sicherheitsloch gefährdet die verschlüsselte Kommunikation im Internet und liefert Angreifern Benutzernamen und Passwörter.

Mehrere Versionen der OpenSSL-Bibliothek weisen diese Sicherheitslücke auf. Bei OpenSSL handelt es sich um eine Programmbibliothek, mit der sich Verbindungen mit SSL (Secure Lockets Layer) verschlüsseln lassen. Diese Programmbibliothek verwenden die unterschiedlichsten Internet- und Netzwerk-Dienste. Betroffen sind deshalb nicht nur Webserver, sondern auch E-Mail-Server, FTP-Server, VPN-Server oder Router und NAS-Server.

Bei Bekanntwerden des Sicherheitslecks waren dem Sicherheitsexperten Robert Graham zufolge rund 600.000 Internetserver betroffen. Einem Monat später waren nur noch 300.000 Server unsicher. Doch nun herrscht Stillstand: Letztes Wochenende scannte Graham das Internet noch einmal nach verwundbaren Servern – und er fand noch immer über 300.000 unsichere Server.

Und dabei bleibt es nicht: Robert Graham geht davon aus, dass auch in zehn Jahren noch immer Tausende von Servern vom Heartbleed Bug betroffen sein werden und das Sicherheitsleck auf diesen Servern nicht geflickt wird. Das Problem löst sich nur dann, wenn die Hardware der älteren Server irgendwann einmal ausgetauscht wird.

Medienberichten zufolge soll der Heartbleed Bug übrigens bereits seit zwei Jahren bekannt sein – und vom US-amerikanischen Geheimdienst NSA seitdem auch ausgenutzt werden. Die US-Behörden haben nach eigenen Angaben aber selbst erst im April dieses Jahres vom Heartbleed-Leck erfahren.

Amazon, AOL, Apple, LinkedIn, Microsoft und PayPal  sollen laut eigenen Angaben nicht von der OpenSSL-Sicherheitslücke betroffen sein. Google hat nach eigenen Angaben den Fehler so früh gefixt, dass man die Passwörter nicht ändern müsste. Dennoch sollten Sie alle Ihre Passwörter umgehend ändern. Das gilt für alle Internetdienste, also auch für Dropbox, eBay, Facebook & Co. Vom Heartbleed Bug sind laut Netcraft rund 500.000 Websites und Online-Dienste betroffen.

Im Artikel „Tipps & Tricks für sichere Passwörter“ haben wir für Sie Tipps für sichere und leicht zu merkende Passwörter zusammengestellt.

Beachten Sie: Die Änderung eines Passworts ist selbstverständlich erst dann sinnvoll, wenn der betroffene Online-Dienst die Sicherheitslücke geschlossen hat. Andernfalls könnten Angreifer auch Ihr neues Passwort abgreifen. Die Webseite Mashable sammelt die Stellungnahmen großer Internetanbieter zum Heartbleed Blug.

Die wichtigsten Fragen zu dem schwerwiegenden OpenSSL-Fehler beantworten wir in unserem Artikel „7 Fragen & Antworten zum Heartbleed Bug“.