URI: 

       # taz.de -- Sicherheitslücke im Netz: „Heartbleed“ geht alle an
       
       > Eine Sicherheitslücke bei der Verschlüsselungstechnik OpenSSL trifft eine
       > Vielzahl von Angeboten im Internet. Nutzern hilft nur ein
       > Passwort-Wechsel.
       
   IMG Bild: Dieses Symbolfoto darf von Online-Gaunern gern entwendet werden. Da hängt kein Herzblut dran.
       
       BERLIN dpa | Nach der Entdeckung der Schwachstelle in einer wichtigen
       Software zum Schutz von Daten im Internet wird die gewaltige Dimension der
       Sicherheitslücke immer deutlicher. Die Lücke „Heartbleed“ klafft in der
       weit verbreiteten Verschlüsselungs-Software OpenSSL. Nach Einschätzung von
       IT-Sicherheitsexperten könnten Hunderttausende Websites betroffen sein.
       Große Internetdienste beeilten sich, die Schwachstelle in ihren Systemen zu
       stopfen.
       
       [1][Google gab bekannt,] dass unter anderem die eigene Internet-Suche, der
       E-Mail-Dienst Gmail, Youtube und die Download-Plattform Play betroffen
       waren. Google habe die Sicherheitslücke inzwischen geschlossen, teilte das
       Unternehmen mit. Auch deutsche Banken und Sparkassen schließen
       Sicherheitslücken in ihren Systemen.
       
       SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und
       Chat-Programmen genutzt. OpenSSL ist einer der Baukästen des
       Sicherheitsprotokolls. Die Sicherheitslücke ermöglicht es Angreifern,
       wichtige Daten aus verschlüsselten Verbindungen zu stehlen – zum Beispiel
       Passwörter. Deshalb sollten Nutzer bei allen betroffenen und bereits
       abgesicherten Websites die Passwörter wechseln.
       
       Betroffen von dem OpenSSL-Problem waren unter anderem Dienste des
       Internetkonzerns Yahoo. Andere große Anbieter wie Apple, Amazon oder
       Microsoft gaben dagegen Entwarnung. In Kanada wurde wegen der
       Sicherheitslücke die Möglichkeit gestoppt, Steuererklärungen online
       einzureichen.
       
       ## „Auf einer Skala von 1 bis 10 ist es eine 11“
       
       „Es könnte locker die schlimmste Schwachstelle seit der Massen-Verbreitung
       des Internets sein“, sagte der Chef der IT-Sicherheitsfirma CloudFlare,
       Matthew Prince, [2][dem Wall Street Journal.] Der bekannte
       Internet-Sicherheitsexperte
       [3][//www.schneier.com/blog/archives/2014/04/heartbleed.html:Bruce Schneier
       schrieb:] „Auf einer Skala von 1 bis 10 ist es eine 11.“ Ein
       Netzwerk-Experte [4][sagte dem Technologieblog Ars Technica,] er habe in
       alten Aufzeichnungen von Servern einen Versuch entdeckt, die Schwachstelle
       bereits im November 2013 auszunutzen.
       
       Die Schwachstelle findet sich in einer Funktion, die eigentlich im
       Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung
       regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch
       online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag. Die
       Schwachstelle wurde deswegen „Heartbleed“ genannt.
       
       Kriminelle können so nicht nur vermeintlich geschützte Informationen
       auslesen, sondern sich auch für eine andere Webseite ausgeben, etwa für die
       einer Bank. Die Betreiber der Webserver können den Fehler mit einem Update
       beheben. Das Bundesamt für Sicherheit in der Informationstechnik rät ihnen
       zudem, neue Schlüssel zu beantragen. Diese Schlüssel sind nötig, damit die
       Verschlüsselung der Daten funktioniert. Sie könnten durch den Fehler
       gestohlen worden sein.
       
       ## Ohne großes Aufsehen dichtmachen
       
       Die Deutsche Kreditwirtschaft (DK), die Dachorganisation der
       Bankenverbände, erklärte am Donnerstag, nach Bekanntwerden der
       Schwachstelle sei sofort überprüft worden, ob die Geldinstitute betroffen
       seien. „Wo dies der Fall ist, sind bereits alle notwendigen Schritte zur
       Behebung der Schwachstelle in OpenSSL eingeleitet beziehungsweise
       abgeschlossen worden.“
       
       Der Plan sei eigentlich gewesen, die Schwachstelle ohne großes Aufsehen im
       Hintergrund dichtzumachen, schrieb das Wall Street Journal unter Berufung
       auf informierte Personen. Angesichts der Sorge, dass Hacker davon bereits
       Wind bekommen hatten, sei die Lücke jedoch rasch öffentlich gemacht worden.
       
       11 Apr 2014
       
       ## LINKS
       
   DIR [1] http://googleonlinesecurity.blogspot.de/2014/04/google-services-updated-to-address.html
   DIR [2] http://m.us.wsj.com/articles/SB10001424052702303873604579491350251315132?mod=LS1&ref=/news/technology&mobile=y
   DIR [3] http://https
   DIR [4] http://arstechnica.com/security/2014/04/heartbleed-vulnerability-may-have-been-exploited-months-before-patch/
       
       ## TAGS
       
   DIR Heartbleed
   DIR Passwort
   DIR Google
   DIR Yahoo
   DIR Schwerpunkt Überwachung
   DIR Finanzen
   DIR Heartbleed
   DIR Heartbleed
   DIR Heartbleed
   DIR Heartbleed
   DIR Datenschutz
   DIR Betriebssystem
   DIR Email
       
       ## ARTIKEL ZUM THEMA
       
   DIR Verschlüsselte Apple-Geräte: Du kommst hier (eventuell) nicht rein
       
       Der iPhone-Hersteller legt sich mit dem FBI wegen einer Hintertür in seiner
       Verschlüsselung an. Das ist PR, aber nicht nur.
       
   DIR „Heartbleed“ und Open-Source-Software: Sicherheit kostet
       
       Nach dem Sicherheitsdesaster „Heartbleed“ stellt sich die
       Finanzierungsfrage bei Open-Source-Projekten. Doch Geld kann neue Probleme
       schaffen.
       
   DIR Datenklau durch „Heartbleed“: Polizei nimmt Kanadier fest
       
       Die kanadischen Behörden haben einen 19-Jährigen abgeführt. Er soll die
       Sicherheitslücke ausgenutzt haben, um an Steuernummern zu kommen.
       
   DIR „Heartbleed“ und Kontrollverlust: Ich hasse Edward Snowden
       
       Jedes neue Sicherheitsleck, ob von der NSA gesteuert oder nur ein
       unschuldiger Bug, zeigt dem User allein eins: Hilflosigkeit gegenüber der
       Technik.
       
   DIR Reaktionen auf „Heartbleed“: Ein ziemlich trivialer Fehler
       
       Die Sicherheitslücke „Heartbleed“ betrifft so gut wie alle, die das
       Internet nutzten. Kein Wunder also, dass im Netz ausführlich diskutiert
       wird.
       
   DIR Sicherheitslücke „Heartbleed“: Eine Backdoor ist keine Backdoor?
       
       Nach dem Fehler in der Verschlüsselungssoftware OpenSSL spekulieren
       Experten, ob bewusst eine Hintertür geschaffen wurde. Etwa für
       Geheimdienste.
       
   DIR Netzaktivist über den Datenklau: „Emails an sich sind schon Quatsch“
       
       Die 18 Millionen geklauten Passwörter sind das geringste Problem, meint
       Carlo von Lynx. Seine These: In zehn Jahren will niemand mehr Mails
       schreiben.
       
   DIR Ende von Windows XP: Microsoft lässt Nutzer hängen
       
       Der Konzern liefert keine Aktualisierungen mehr für das Betriebssystem
       Windows XP – obwohl weltweit 400 Millionen Geräte damit laufen. Was nun?
       
   DIR BSI informiert über Passwort-Diebstahl: Erst denken, dann klicken
       
       „Guten Tag, Ihr Passwort wurde geklaut“: E-Mail-NutzerInnen in Deutschland
       könnten am Montag eine blöde Mail bekommen. Handeln sollten auch alle
       anderen.