Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

Weltweite Sicherheitslücke

«Heartbleed» ist ein Sicherheitsproblem unbekannten Ausmasses – niemand weiss, wie viele Daten wegen der mangelhaften Internet-Verschlüsselung gestohlen wurden. Auch das E-Banking könnte davon betroffen sein.

Matthias Schüssler

Es sei der grösste anzunehmende Unfall im Sicherheitsbereich, schreibt das Computerportal Heise.de. «Von einem Super-GAU würde ich nicht sprechen», relativiert Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes. «Aber es ist sicherlich eines der Grossereignisse der letzten Jahre.»

Es geht um die Lücke in Open SSL. Das ist eine freie Software für die Verschlüsselung der Datenkommunikation, die bei vielen Webservern zum Einsatz kommt. Die Lücke ist im Programmcode inzwischen beseitigt, doch das Problem ist damit nicht behoben. Der Fehler im Programmcode hat es ermöglicht, den Speicher des Gegenübers zu lesen. Es war dadurch möglich, an geheime Daten zu gelangen. «Ein Angreifer hat nach dem Zufallsprinzip 64 Kilobytes an Daten zurückerhalten», erklärt Klaus. Diese Daten können jegliche Informationen enthalten – auch Passwörter, private Daten oder Kreditkartennummern.

Die Menge an Daten, die sich auf diese Weise stehlen lassen, ist zwar beschränkt. Doch weil das Prozedere beliebig wiederholbar ist, haben sich auf diesem Weg auch grössere Datenmengen abtransportieren und zusammenpuzzeln lassen, erklärt Klaus. In welchem Mass diese Sicherheitslücke ausgenutzt wurde, lässt sich nachträglich nicht eruieren. Da die Schwachstelle mutmasslich seit mehr als zwei Jahren bestanden hat, könnte das Ausmass des Problems riesig sein – falls Hacker die Lücke früh entdeckt und in aller Stille ausgenutzt haben.

Dienste notfalls abschalten

Auch die geheimen Schlüssel der Server sind nicht mehr sicher, was die Verschlüsselung generell infrage stellt, indem sie eine «Man in the Middle»-Attacke ermöglichen würde. Dabei klinkt sich ein Mittelsmann in die verschlüsselte Kommunikation ein, liest sie mit oder führt Manipulationen durch. Der Name Heartbleed (Herzbluten) rührt daher, dass der Fehler in einer Funktion namens Heartbeat gefunden wurde. Über diese Herzschlagfunktion wird geprüft, ob die Verbindung zur Gegenstelle noch aktiv ist.

An die Betreiber von Websites ergeht die Aufforderung, die Sicherheitslücke zu schliessen. Damit ist es aber nicht getan. Es müssen auch die Zertifikate erneuert, die alten Zertifikate für ungültig erklärt und neue Schlüssel generiert werden, empfiehlt die Bundesstelle den Webseiten-Betreibern. Das ist mit einigem Aufwand verbunden, und es kann auch Kosten verursachen. Verzögerungen sind nicht ausgeschlossen, weil die Zertifizierungsstellen nicht in der Lage sein könnten, so viele Zertifikate auszutauschen. Notfalls sei es gerechtfertigt, einen Dienst abzuschalten, bis die Sicherheit wiederhergestellt ist, rät Melani.Betroffen sind nicht nur Mailprovider oder Finanzinstitute, sondern auch Webportale und Shops. Auch Apps, Chat- und Kommunikationsdienste oder Cloud-Lösungen könnten verwundbar sein, wie Melani mitteilt. Die Anwender sollten in den nächsten Tagen Zurückhaltung bei der Nutzung heikler Dienste üben, bis sichergestellt ist, dass die Dienstleister die Lücke geschlossen haben. Wenn man davon ausgehen kann, dass sie geschlossen ist, sollte man zum Schutz sensibler Daten alle Passwörter ändern.

Probleme auch bei Banken

Da nicht reproduzierbar sei, welche Daten abgeflossen seien, sollen Kreditkartenabrechnungen und auch Belege von Diensten wie dem iTunes Store geprüft werden, rät Klaus. Wie das Portal Inside-it.ch berichtet, hatten zahlreiche Schweizer Banken offenbar Probleme mit dem Stopfen des Sicherheitslecks. Es verweist auf Tests, welche die Piratenpartei des Kantons Aargau durchgeführt hatte. Nach über 24 Stunden des Bekanntwerdens der Schwachstelle hatten erst 9 von 51 geprüften E-Banking-Systemen einen genügenden Schutz installiert.

Erst vor kurzem war ein Fehler in einer Systembibliothek von Apple bekannt geworden, der die Verschlüsselung bei Apple-Geräten unterminiert hatte. Dieser als «Goto fail» bekannte Fehler ist inzwischen korrigiert, und er hat keinen so weitreichenden Datendiebstahl ermöglicht.

Wer nicht dringend muss, sollte in den nächsten Tagen auf Online-Einkäufe verzichten. Foto: Tetiana Vitsenko (Colourbox)

Quelle: Der Bund, Donnerstag, 10. April 2014

Rubrik und Tags:

Faksimile
140410 Seite 37.pdf

Die Faksimile-Dateien stehen nur bei Artikeln zur Verfügung, die vor mindestens 15 Jahren erschienen sind.

Metadaten
Thema: Wirtschaft
Nr: 11670
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder: 1
Textlänge: 533
Ort:
Tabb: FALSCH