Heartbleed: Erleiden wir den digitalen Herzinfarkt?

Ich möchte jetzt nicht wiederkäuen, was die letzten Tage so zahlreich von vielen Webseiten propagiert und beschrieben wurde. Fest steht, der OpenSSL-Bug “Heartbleed” ist in der Geschichte des Internets ein weiterer Meilenstein für dessen Verwundbarkeit. Golem bietet hierzu eine recht gute FAQ-Sammlung. Kurz gesagt, es sind alle OpenSSL-Versionen betroffen, die Anfang 2012 veröffentlicht wurden. Von allen Seiten hört man seit vorgestern nur noch: “Ändert eure Passwörter, das halbe Internet ist ab sofort unsicher.” Aber ist das denn auch wirklich der Fall? Vielleicht, aber vor allem sehe ich hysterische Redakteure, die eine riesengroße Paniklawine lostreten. Nutzer sitzen wie Wiesel auf Crack vor ihren Monitoren und ändern massenweise Kennwörter, um ihre Sicherheit wiederherzustellen. Doch die wenigsten verstehen den tieferen Sinn dieser Aktion und so ist es ein leichtes, sie mit Schreckensnachrichten zu füttern.

Feet the crack weasel (Quelle: BLMOregon, Liz. CC BY-SA 2.0)
Feet the crack weasel (Quelle: BLMOregon, Liz. CC BY-SA 2.0)

Daher möchte ich keine weitere Hysterie verbreiten, sondern das Thema nüchtern betrachten. Grundlegend klafft in OpenSSL eine Lücke, die das Auslesen eines 64 Kilobyte großen Speicherblocks aus dem RAM von einem Server erlaubt. Darin kann sich alles Mögliche befinden: Passwörter, Session-Cockies, Private Keys usw. Für einen Angreifer ist somit von vornherein unklar, welche Daten er abgreift. Der CDN-Anbieter CloudFlare testet seit zwölf Tagen, ob damit tatsächlich private Schlüssel ergaunert werden könnten. Binnen weniger Stunden gelang es Hackern die Private Keys abzufischen. Damit würde jeglicher Datenverkehr des Servers offenliegen. Euer Kennwort könnte ebenso jederzeit unverschlüsselt in diesem Segment stehen. SSL/TLS sollte aber vertrauliche Daten verschlüsseln. Da durch “Heartbleed” reihenweise Server unsicher sind, müssen Systemadministratoren ihre Systeme umgehend auf diesen Defekt prüfen und beseitigen. Der allseits präsente Tipp, rasch alle Passwörter zu ändern, kann ratsam sein, wobei hier momentan kein effektiver Schutz besteht.

Denn solange die Lücke weiter auf betroffenen Servern aktiv ist, sind eure Daten ständig gefährdet. Deshalb bringt eine Kennwortänderung erst nach Stopfen des blutenden Herzens den gewünschten Effekt. Wir müssen uns in der Zukunft um weitere Schutzmechanismen kümmern. Ein reiner Kennwortschutz, samt verschlüsselter Verbindung reicht keinesfalls. Die sogenannte Zwei-Faktor-Authentifizierung stellt sicherlich eine zusätzliche brauchbare Möglichkeit dar. Wobei ich aus Gründen des Datenschutzes kein Freund davon bin, meine Handynummer an Google, Facebook und Co. zu übermitteln. Keineswegs dürfen wir uns erneut ausschließlich auf OpenSSL verlassen, gleiches gilt meiner Meinung für PGP. Gelingt es der NSA oder anderen Organisationen diese Verschlüsselung zu knacken, stehen wir wieder im Blutregen. Das Web muss sicherer werden und dafür braucht das Internet neue Schutzstrategien.

Trotz aller Panik rate ich jedem zu drei Prinzipien:

  1. Ruhe bewahren. Panik treibt einen sonst zum Herzinfarkt.
  2. Aufmerksam lesen und nicht jeden Mist glauben.
  3. Angemessen handeln und sicherer leben.

Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

1 Kommentar

Du kannst diesen Artikel nicht mehr kommentieren.

  1. Kommentar von Didi · · #

    ich fand diese news lustig. kann mich noch gut erinnern, wie ich vor 10 jahren schon bemerken musste, dass trotz der möglichkeit von ssl, kaum eine website https beim logon verwendete. das beste waren sites, die erst NACH der kennworteingabe auf https umschalteten.
    jahrezehntelang wurde https verschmäht, keiner gab was drauf, jetzt auf einmal solls wichtig sein. zählt doch mal auf, was hacker (ohne erwischt werden zu können) mit deinen tollen daten alles anstellen können. macht doch mal eine liste mit möglichst realistischen szenarien. bin schon gespannt.
    ich sage nicht, dass man nicht ein bisschen aufpassen sollte, aber es ist absurd, wie eine KONKRETE gefahrenseite nirgends erwähnung findet. panik, panik, aber wegen was eigentlich?
    p.s.: ausserdem hat eine leergeräumte wohnung (einbrecher hatten vom urlaub auf facebook erfahren) auch seinen vorteil: ausmalen kann man lassen! und die entwendungen kann man dann günstig auf ebay sich wieder zurückholen… © by niavarani & gernot