Heartbleed: Nutzer können nur wenig tun

Anfang der Woche wurde eine Schwachstelle in der Verschlüsselungssoftware OpenSSL entdeckt, die auf den dramatischen Namen Heartbleed getauft wurde und deren Ausmaße auch als dramatisch einzustufen sind. Denn die Lücke betrifft gut zwei Drittel des gesamten Internets und setzt ausgerechnet an einem Punkt an, wo sich Nutzer normalerweise „sicher“ fühlen. Infolge dessen konnten auch in der Regel empfohlene „https“-Adressen nicht mehr uneingeschränkt als sicher eingestuft werden.

Glücklicherweise führte der massive Bug dennoch zu keinen weitreichenden Schäden. „Sicherheitslücken sind dann schlimm, wenn sie jemand ausnutzt“, so Christian Platzer, Sicherheitsexperte von der TU-Wien. In diesem Fall sei die Lücke natürlich massiv, da sie sehr große Teile des Internets betrifft. „Tatsächlich passiert ist allerdings nicht wirklich etwas. In Österreich ist mir derzeit kein Missbrauch bekannt“, betont Platzer.

Die Schwachstelle sei von den meisten Webseitenbetreibern sehr schnell gepatcht, also der Fehler mit dem dazu ausgelieferten Update behoben worden. Dass es nicht vielleicht doch zu Missbrauchsfällen kam, kann derzeit nicht komplett ausgeschlossen werden. Auch wenn der Sicherheitsexperte keine groben Datenlecks erwartet, könne erst die Zukunft zeigen, ob nicht doch irgendwo Daten entwendet wurden, die dann wieder im Netz auftauchen.

Webseitenbetreiber müssen handeln

Schützen kann man vor Heartbleed als gewöhnlicher Internetnutzer kaum, denn grundsätzlich sind bei Heartbleed die Webseitenbetreiber am Zug. Sie müssen ihre Server wieder sicher machen und die Lücke schließen. Dazu wurden schon die nötigen Updates ausgeliefert. Parallel läuft eine Aufklärungskampagne im Internet, die mit Videos darüber informiert, wie die Sicherheitslücke ausgenutzt werden kann.

Wenn sich Nutzer unsicher sind, ob ein Onlineservice nach wie vor ein Risiko darstellt, kann man die Webadressen auf dafür eingerichteten Seiten, wie etwa bei filippo.io überprüfen. Dabei erhält man auch die Information, ob eine Webseite betroffen war, aber bereits wieder gesichert wurde. Sollte sich herausstellen, dass die Lücke nach wie vor besteht, sollte man sich vorerst nicht dort einloggen. Darüber hinaus kann man sich auch direkt bei den Firmen informieren.

Zugangsdaten

Wer trotz allem Zweifel hat und auf Nummer sicher gehen will, sollte seine Zugangsdaten, also Login und Passwort, ändern. Das empfehlen auch Sicherheitsexperten wie Christian Platzer von der TU Wien, der zudem beruhigt: „Selbst wenn sich jemand anhand von Heart-bleed Zugang zu einer Webseite verschafft haben sollte, heißt das nicht, dass auf die kompletten Datenbanken einfach so zugegriffen werden kann.“ Die Lücke ermögliche es in erster Linie, auf laufende Informationen zuzugreifen, also etwa die Daten jener Nutzer, die genau zur selben Zeit auf der jeweiligen Seite eingeloggt sind.