Abo
  • Services:

Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr

Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Einen Monat danach scheint die Gefahr größtenteils gebannt zu sein, auch wenn noch nicht alle Betroffenen reagiert haben.

Artikel veröffentlicht am , /dpa
Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
(Bild: EFF)

Einen Monat nach Bekanntwerden der Sicherheitslücke Heartbleed hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut BSI haben die wichtigsten Websites inzwischen reagiert und die Sicherheitslücke geschlossen, die durch einen Fehler in der Verschlüsselungs-Software OpenSSL entstand.

Inhalt:
  1. Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr
  2. Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen

So optimistisch zeigen sich allerdings nicht alle Experten: Laut Erratasec, einem Dienstleister für Internetsicherheit, sind weltweit immer noch mehr als 300.000 Webseiten unsicher. Auch nach Angaben von Netcraft haben noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate. Sie wären damit immer noch anfällig für einen Angriff, durch den ein Angreifer alles mitlesen kann, was über eine vermeintlich sichere Verbindung geschickt wird, zum Beispiel Passwörter für Onlinebanking.

Das Problem: Der Fehler in der Kryptografiesoftware OpenSSL war zwar schnell behoben, doch reicht es nicht, wenn ein Website-Betreiber nur die fehlerhafte Software austauscht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptografischen Schlüssel des Servers auslesen. Die Schlüssel wiederum werden in Zertifikate integriert. Diese werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Kein funktionierendes System zur Überprüfung von Zertifikaten

Administratoren betroffener Websites oder E-Mail-Anbieter müssen zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein "Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzt, Opfer dort hinlockt und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite". Der Aufwand ist also nicht unerheblich.

Zertifikatsprüfung weitgehend nutzlos

Stellenmarkt
  1. MED-EL Medical Electronics, Innsbruck (Österreich)
  2. Porsche AG, Zuffenhausen

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen", heißt es vom BSI.

Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagt auch der Kryptografie-Experte und Golem.de-Autor Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne, so dass das Zertifikat trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Website oder ein E-Mail-Anbieter muss seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Viele große Anbieter hätten das auch getan, "schon allein, um eventuelle Haftungsfragen auszuschließen", teilte das BSI mit.

Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (-88%) 2,49€
  2. (-77%) 11,49€
  3. 111€
  4. 55,11€ (Bestpreis!)

derdiedas 20. Mai 2014

Cisco etwa :-) http://www.tech.de/news/heartbleed-bug-router-betroffen-10030661.html

Yes!Yes!Yes! 20. Mai 2014

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da...


Folgen Sie uns
       


Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus

Huaweis neues P20 Pro hat gleich drei Kameras auf der Rückseite. Diese ermöglichen nicht nur eine Porträtfunktion, sondern auch einen dreistufigen Zoom. Mit ihren KI-Funktionen unterstützt die Kamera des P20 Pro den Nutzer bei der Aufnahme.

Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus Video aufrufen
Thermalright ARO-M14 ausprobiert: Der den Ryzen kühlt
Thermalright ARO-M14 ausprobiert
Der den Ryzen kühlt

Mit dem ARO-M14 bringt Thermalright eine Ryzen-Version des populären HR-02 Macho Rev B. Der in zwei Farben erhältliche CPU-Kühler leistet viel und ist leise, zudem hat Thermalright die Montage etwas verbessert.
Ein Hands on von Marc Sauter


    Physik: Maserlicht aus Diamant
    Physik
    Maserlicht aus Diamant

    Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
    Von Dirk Eidemüller

    1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
    2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
    3. Crayfis Smartphones sollen kosmische Strahlung erfassen

    NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
    NUC8i7HVK (Hades Canyon) im Test
    Intels Monster-Mini mit Radeon-Grafikeinheit

    Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
    2. NUC8 Intels Mini-PC hat mächtig viel Leistung
    3. Hades Canyon Intel bringt NUC mit dedizierter GPU

      •  /