Sicherheitslücke betrifft auch E-Banking
«Heartbleed» ist ein Sicherheitsproblem unbekannten Ausmasses – niemand weiss, wie viele Daten gestohlen wurden.
Von Matthias Schüssler
Es sei der grösste anzunehmende Unfall im Sicherheitsbereich, schreibt das Computerportal Heise.de. «Von einem Super-GAU würde ich nicht sprechen», relativiert Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes. «Aber es ist sicherlich eines der Grossereignisse der letzten Jahre.»
Es geht um die Lücke in Open SSL. Das ist eine freie Software für die Verschlüsselung der Datenkommunikation, die bei vielen Webservern zum Einsatz kommt. Die Lücke ist im Programmcode inzwischen beseitigt, doch das Problem ist damit nicht behoben. Der Fehler im Programmcode hat es ermöglicht, den Speicher des Gegenübers zu lesen. Es war dadurch möglich, an geheime Daten zu gelangen. «Ein Angreifer hat nach dem Zufallsprinzip 64 Kilobytes an Daten zurückerhalten», erklärt Klaus. Diese Daten können jegliche Informationen enthalten – auch Passwörter, private Daten oder Kreditkartennummern.
Die Menge an Daten, die sich auf diese Weise stehlen lassen, ist zwar beschränkt. Doch weil das Prozedere beliebig wiederholbar ist, haben sich auf diesem Weg auch grössere Datenmengen abtransportieren und zusammenpuzzeln lassen, erklärt Klaus. In welchem Mass diese Sicherheitslücke ausgenutzt wurde, lässt sich nachträglich nicht eruieren. Da die Schwachstelle mutmasslich seit mehr als zwei Jahren bestanden hat, könnte das Ausmass des Problems riesig sein – falls Hacker die Lücke früh entdeckt und in aller Stille ausgenutzt haben.
Dienste notfalls abschalten
Auch die geheimen Schlüssel der Server sind nicht mehr sicher, was die Verschlüsselung generell infrage stellt, indem sie eine «Man in the Middle»-Attacke ermöglichen würde. Dabei klinkt sich ein Mittelsmann in die verschlüsselte Kommunikation ein, liest sie mit oder führt Manipulationen durch. Der Name Heartbleed (Herzbluten) rührt daher, dass der Fehler in einer Funktion namens Heartbeat gefunden wurde. Über diese Herzschlagfunktion wird geprüft, ob die Verbindung zur Gegenstelle noch aktiv ist.
An die Betreiber von Websites ergeht die Aufforderung, die Sicherheitslücke zu schliessen. Damit ist es aber nicht getan. Es müssen auch die Zertifikate erneuert, die alten Zertifikate für ungültig erklärt und neue Schlüssel generiert werden, empfiehlt Melani den Webseiten-Betreibern. Das ist mit einigem Aufwand verbunden, und es kann auch Kosten verursachen. Verzögerungen sind nicht ausgeschlossen, weil die Zertifizierungsstellen nicht in der Lage sein könnten, so viele Zertifikate auszutauschen. Notfalls sei es gerechtfertigt, einen Dienst abzuschalten, bis die Sicherheit wiederhergestellt ist, rät Melani.
Betroffen sind nicht nur Mailprovider oder Finanzinstitute, sondern auch Webportale und Shops. Auch Apps, Chat- und Kommunikationsdienste oder Cloud-Lösungen könnten verwundbar sein, wie Melani mitteilt. Die Anwender sollten in den nächsten Tagen Zurückhaltung bei der Nutzung heikler Dienste üben, bis sichergestellt ist, dass die Dienstleister die Lücke geschlossen haben. Wenn man davon ausgehen kann, dass sie geschlossen ist, sollte man zum Schutz sensibler Daten alle Passwörter ändern. Da nicht reproduzierbar sei, welche Daten abgeflossen seien, sollen Kreditkartenabrechnungen und auch Belege von Diensten wie dem iTunes Store geprüft werden, rät Klaus.
Probleme auch bei Banken
Wie das Portal Inside-it.ch berichtet, hatten zahlreiche Schweizer Banken offenbar Probleme mit dem Stopfen des Sicherheitslecks. Es verweist auf Tests, welche die Piratenpartei des Kantons Aargau durchgeführt hatte. Nach über 24 Stunden des Bekanntwerdens der Schwachstelle hatten erst 9 von 51 geprüften E-Banking-Systemen einen genügenden Schutz installiert.
Die kanadischen Finanzbehörden gehen auf Nummer sicher: Sie schlossen am Mittwoch ihre Websites. Damit ist es nicht mehr möglich, Steuererklärungen über das Internet abzugeben. Die Abschaltung kam drei Wochen vor Ablauf der Frist, bis zu der Steuererklärungen für 2013 abzugeben sind.