Abo
  • Services:

Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr

Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Einen Monat danach scheint die Gefahr größtenteils gebannt zu sein, auch wenn noch nicht alle Betroffenen reagiert haben.

Artikel veröffentlicht am , /dpa
Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
(Bild: EFF)

Einen Monat nach Bekanntwerden der Sicherheitslücke Heartbleed hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut BSI haben die wichtigsten Websites inzwischen reagiert und die Sicherheitslücke geschlossen, die durch einen Fehler in der Verschlüsselungs-Software OpenSSL entstand.

Inhalt:
  1. Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
  2. Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen

So optimistisch zeigen sich allerdings nicht alle Experten: Laut Erratasec, einem Dienstleister für Internetsicherheit, sind weltweit immer noch mehr als 300.000 Webseiten unsicher. Auch nach Angaben von Netcraft haben noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate. Sie wären damit immer noch anfällig für einen Angriff, durch den ein Angreifer alles mitlesen kann, was über eine vermeintlich sichere Verbindung geschickt wird, zum Beispiel Passwörter für Onlinebanking.

Das Problem: Der Fehler in der Kryptografiesoftware OpenSSL war zwar schnell behoben, doch reicht es nicht, wenn ein Website-Betreiber nur die fehlerhafte Software austauscht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptografischen Schlüssel des Servers auslesen. Die Schlüssel wiederum werden in Zertifikate integriert. Diese werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Kein funktionierendes System zur Überprüfung von Zertifikaten

Administratoren betroffener Websites oder E-Mail-Anbieter müssen zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein "Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzt, Opfer dort hinlockt und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite". Der Aufwand ist also nicht unerheblich.

Zertifikatsprüfung weitgehend nutzlos

Stellenmarkt
  1. Hochland Natec GmbH, Heimenkirch
  2. Robert Bosch GmbH, Hildesheim

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen", heißt es vom BSI.

Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagt auch der Kryptografie-Experte und Golem.de-Autor Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne, so dass das Zertifikat trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Website oder ein E-Mail-Anbieter muss seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Viele große Anbieter hätten das auch getan, "schon allein, um eventuelle Haftungsfragen auszuschließen", teilte das BSI mit.

Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (nur für Prime-Mitglieder)

derdiedas 20. Mai 2014

Cisco etwa :-) http://www.tech.de/news/heartbleed-bug-router-betroffen-10030661.html

Yes!Yes!Yes! 20. Mai 2014

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da...


Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden
  2. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  3. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

VR-Rundschau: Retten rockende Jedi-Ritter die virtuelle Realität?
VR-Rundschau
Retten rockende Jedi-Ritter die virtuelle Realität?

Der mediale Hype um VR ist zwar abgeflaut, spannende Inhalte dafür gibt es aber weiterhin - und das nicht nur im Games-Bereich. Mit dabei: das beliebteste Spiel bei Steam, Jedi-Ritter auf Speed und ägyptische Grabkammern.
Ein Test von Achim Fehrenbach

  1. Grafikkarten Virtual Link via USB-C für Next-Gen-Headsets
  2. Oculus Core 2.0 Windows 10 wird Minimalanforderung für Oculus Rift
  3. Virtual Reality BBC überträgt Fußball-WM in der virtuellen VIP-Loge

    •  /