Abo
  • IT-Karriere:

Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr

Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Einen Monat danach scheint die Gefahr größtenteils gebannt zu sein, auch wenn noch nicht alle Betroffenen reagiert haben.

Artikel veröffentlicht am , /dpa
Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
(Bild: EFF)

Einen Monat nach Bekanntwerden der Sicherheitslücke Heartbleed hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut BSI haben die wichtigsten Websites inzwischen reagiert und die Sicherheitslücke geschlossen, die durch einen Fehler in der Verschlüsselungs-Software OpenSSL entstand.

Inhalt:
  1. Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
  2. Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen

So optimistisch zeigen sich allerdings nicht alle Experten: Laut Erratasec, einem Dienstleister für Internetsicherheit, sind weltweit immer noch mehr als 300.000 Webseiten unsicher. Auch nach Angaben von Netcraft haben noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate. Sie wären damit immer noch anfällig für einen Angriff, durch den ein Angreifer alles mitlesen kann, was über eine vermeintlich sichere Verbindung geschickt wird, zum Beispiel Passwörter für Onlinebanking.

Das Problem: Der Fehler in der Kryptografiesoftware OpenSSL war zwar schnell behoben, doch reicht es nicht, wenn ein Website-Betreiber nur die fehlerhafte Software austauscht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptografischen Schlüssel des Servers auslesen. Die Schlüssel wiederum werden in Zertifikate integriert. Diese werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Kein funktionierendes System zur Überprüfung von Zertifikaten

Administratoren betroffener Websites oder E-Mail-Anbieter müssen zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein "Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzt, Opfer dort hinlockt und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite". Der Aufwand ist also nicht unerheblich.

Zertifikatsprüfung weitgehend nutzlos

Stellenmarkt
  1. Technische Universität Darmstadt, Darmstadt
  2. Impactory GmbH, Darmstadt (Home-Office)

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen", heißt es vom BSI.

Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagt auch der Kryptografie-Experte und Golem.de-Autor Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne, so dass das Zertifikat trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Website oder ein E-Mail-Anbieter muss seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Viele große Anbieter hätten das auch getan, "schon allein, um eventuelle Haftungsfragen auszuschließen", teilte das BSI mit.

Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. mit Gutschein: NBBX570

derdiedas 20. Mai 2014

Cisco etwa :-) http://www.tech.de/news/heartbleed-bug-router-betroffen-10030661.html

Yes!Yes!Yes! 20. Mai 2014

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da...


Folgen Sie uns
       


Golem-Akademie - Trainer Florian stellt sich vor

Vom Junior-Projektleiter zum IT-Director konnte Florian Schader sämtliche Facetten der IT-Welt gestalten und hat eine Leidenschaft entwickelt, diese Erfahrungen weiterzugeben. Seine Grundmotivation ist die aktive Weitergabe seiner 20-jährigen Projekt- und Leitungserfahrung im IT-Umfeld, der Erfolg von Projekten und die aktive Weiterentwicklung von Menschen. Dabei stellt er immer den Bezug zur Praxis her. Als Trainer und Coach ist er spezialisiert auf Projektmanagement und Führungskräfteentwicklung.

Golem-Akademie - Trainer Florian stellt sich vor Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

    •  /