OpenSSL-Bug erlaubt Zugriff auf Webserver
von Terence Kubald
Das besonders Schlimme: Von der Sicherheitslücke ist jeder Internetbenutzer betroffen, denn zahlreiche Seiten, Online-Dienste und Web-Programme nutzen OpenSSL, um ihre Webserver zu verschlüsseln. Infolge des Sicherheitslecks müssen nicht nur Schweizer nun einige Vorkehrungen treffen, um weiterhin möglichst geschützt im Netz surfen zu können.
Fatale Sicherheitslücke mit womöglich katastrophalen Folgen
Wie schwerwiegend die OpenSSL-Sicherheitslücke tatsächlich ist, lässt sich kaum in einem rationalen Ausmass begreifen. Millionen von Webservern verschlüsseln die Daten ihrer Kunden und die eigenen Datensätze über diese Sicherheits-Software, die durch den Bug nun auf ganzer Linie versagt hat. Der gravierende Programmierfehler erlaubt Hackern Zugriff auf die Daten am Server, welche bruchstückhaft abgefragt werden können. Unter diesen finden sich viele irrelevante Code-Schnipsel, genauso einfach kann über die Daten aber auch an persönliche Informationen gelangt werden, unter anderem an das Passwort und Mail-Adressen.
Der auf den Namen „Heartbleed“ getaufte Bug erlaubt es Hackern, Teile des Arbeitsspeichers vom Server auszulesen. Daten werden im Arbeitsspeicher im Regelfall als 64-kb-Bauklötze gelagert. Unzählige dieser Bauklötze enthalten völlig irrelevante Informationen, viele davon aber sensible Daten, die von den Hackern ausgenutzt werden können. Die Entdecker des Bugs probierten einen Angriff auf einige ihrer Webdienste und konnten dabei feststellen, dass noch nicht einmal privilegierte Informationen notwendig sind, um an komplette Datensätze zu gelangen. Nachrichten, Passwörter, vertrauliche Dokumente, Benutzernamen und ganze Code-Schlüssel können auf diese Weise einfach in fremde Hände gelangen – komplett unverschlüsselt.
Private Nutzer ebenfalls betroffen
Das Sicherheitsleak betrifft längst nicht nur Vielnutzer und Unternehmen. Auch private Kunden, die einfach von Zeit zu Zeit im Internet einkaufen oder andere Webdienste nutzen, sind von dem fatalen Bug betroffen. Besonders pikant ist die Machtlosigkeit der Nutzer. Diese bemerken, bis es tatsächlich zu spät ist, noch nicht einmal, dass ihre Daten gestohlen wurden. Zugleich erfährt der Nutzer ohne umfangreiche technische Kenntnisse nicht einmal, welche Seiten überhaupt die OpenSSL-Verschlüsselung benutzen.
Üblicherweise wird die Verschlüsselung vor allem auf Webservern genutzt, welche eingesetzt werden, um Daten zu verstauen. Ein Online-Shop oder jede beliebige Internetseite ist daher automatisch auch an einen Webserver gebunden, welcher aufgrund des Bugs betroffen sein könnte. Zugleich nutzen auch VPN- und E-Mail-Server in vielen Fällen die OpenSSL-Bibliothek. Auf diese Weise gelangen Hacker nicht nur an persönliche Daten, sondern können diese auch sofort in Kombination mit dem E-Mail-Programm und den dazugehörigen Mailadressen einsetzen. Selbst zusätzliche Sicherheitsmechanismen, wie beispielsweise eine Bestätigungsmail beim Ändern des Passwortes, würden dann nicht mehr greifen.
Private Nutzer sollten unbedingt ihren Browser beziehungsweise ihr E-Mail-Programm aktualisieren. Die meisten Anbieter haben bereits Updates bereitgestellt, sofern die Software indirekt von dem Bug betroffen war. Programme und Dienste, die mit einer älteren OpenSSL-Version (1.0 oder gar 0.9) arbeiteten, sind dagegen nicht betroffen. Diese alten Verschlüsselungen werden in der Praxis aber nur sehr wenig eingesetzt, da viele Webserver (eigentlich mit Recht) sofort bei Verfügbarkeit auf eine neue, verbesserte Version aktualisieren.
Diebstahl der Daten noch nicht belegt
Ein Sicherheitsteam aus dem Hause Google und die finnische Firma „Codenomicon“ hatten den Bug quasi zeitgleich entdeckt. Infolgedessen wurde er an die Entwickler von OpenSSL weitergegeben und sofort behoben, für den Nutzer selber bringt das aber nur wenig Sicherheit. Leider kann keinesfalls automatisch davon ausgegangen werden, dass Hacker und andere Cyberkriminelle den Bug nicht schon viel früher entdeckten. Sie würden ihn selbstredend nicht öffentlich verbreiten, sondern eher im Geheimen nutzen, um sensible Daten und Passwörter zu stehlen.
Nach übereinstimmenden Medienberichten soll der Bug sogar seit mehr als einem Jahr existent sein, auch wenn er erst kürzlich ausfindig gemacht wurde. Genügend Zeit für Hacker also, die Lücke in der Theorie bereits entdeckt zu haben. Ob das in der Praxis geschehen ist, lässt sich serverseitig leider nicht herausfinden. Nutzer und Admins tappen also gleichermassen im Dunkeln. Nutzer des Apple-Betriebssystems Mac OS X Mavericks sind derweil nicht betroffen, da das Betriebssystem mit einer älteren Version von OpenSSL arbeitet.
Wie auf den vermeintlichen Datendiebstahl reagieren?
Aufgrund der Ungewissheit ist die Lage für Anwender besonders prekär. Einerseits kann nicht gesagt werden, ob die Lücke Hackern überhaupt bekannt war, andererseits ist nicht festzustellen, ob sie auf einem speziellen Server tatsächlich ausgenutzt wurde. Die Integrität der Daten kann also nicht gewährleistet werden, zugleich lässt sich aber nicht definitiv sagen, dass sie kompromittiert wurden.
Nutzern bleibt aktuell nur übrig, die eigenen genutzten Online-Dienste regelmässig zu überprüfen. Besonders Online-Banking und Payment-Dienstleister sind häufig Ziel von Angriffen – hier würde der Bug, falls bekannt, am ehesten angewandt werden. Aber auch andere Dienste sollten in den kommenden Wochen und Monaten genau im Auge behalten werden. Die Änderung des Passwortes sollte überall an erster Stelle stehen. So werden die Chancen auf einen Fremdzugriff zumindest minimiert.
Oberstes Bild: © Yuriy Vlasenko – Shutterstock.com