Größte Internet-Sicherheitslücke bedroht Ihre Privatsphäre, Ihr Geld und Ihre Firmendaten
Leena Snidate / Codenomicon
Webseiten, Onlinebanking, Firmen-Accounts, Smartphones: Die Sicherheitslücke
„Heartbleed“ wird schon jetzt, wenige Tage nach Ihrem Bekanntwerden, als „Super-GAU des Internets“ bezeichnet. Rund 500.000 Webseiten, darunter zahlreiche populäre Dienste wie Facebook, Google, Web.de oder Dropbox, hatten oder haben noch immer den schädlichen Programmcode auf ihren Servern, so dass quasi jeder Internet-Nutzer betroffen ist.
Ausgerechnet ein deutscher Programmierer zeichnet für den in einer Programmbibliothek namens OpenSSL enthaltenen Fehler verantwortlich. Heartbleed ermöglicht es Angreifern, Benutzernamen, Passwörter, Verschlüsselungszertifikate und beliebige weitere Daten auszulesen. Dabei hinterlassen die Datendiebe keine Spuren; mit anderen Worten: Niemand weiß, wer in welchem Maße bereits geschädigt wurde. Schon kurz nach Bekanntwerden des Fehlers kursierten Angriffsskripte in einschlägigen Hacker-Foren.
Auch Millionen Online-Banking-Konten waren wegen des Heartbleed-Bugs ungeschützt. Fest steht bislang lediglich, dass die Commerzbank ihre Server eiligst aktualisieren musste. Die Webseite Tagesgeldvergleich.com vermutet jedoch in einem heute erschienenen Artikel, dass weitere Institute betroffen sind, darunter die Deutsche Bank, HypoVereinsbank und 1822direkt. Der Bundesverband der Banken will keine Stellungnahmen zu einzelnen Instituten abgeben, so dass ein mulmiges Gefühl in der Magengegend zurückbleibt, ob die eigene Bank nicht doch zu den potenziellen Opfern gezählt hat.
Sie nutzen weder Facebook oder Dropbox noch Onlinebanking und wähnen sich daher in Sicherheit? Dann haben wir schlechte Nachrichten für Sie: Heartbleed reicht bis zu Ihrem Arbeitsplatz, da beispielsweise auch VPN-Gateways, Router und andere Netzwerkgeräte OpenSSL verwendet haben. Somit sind Ihr Firmen-Account und Ihre Unternehmensdaten in höchstem Maße bedroht. Allein Cisco und Juniper haben Listen von mehr als 100 betroffenen Geräten und Programmen veröffentlicht.
Sie nutzen keinen Fernzugriff auf Ihr Unternehmens-Netzwerk? Vielleicht haben Sie aber ein Android-Smartphone oder ein NAS-Speichersystem für die privaten Urlaubsbilder – und sitzen auf diesem Wege mit im großen Boot der Betroffenen.
Letztlich hilft nur eine Radikalkur gegen den OpenSSL-Fehler:
Prüfen Sie, ob der jeweilige Anbieter die Sicherheitslücke geschlossen hat. Handelt es sich um Hardware wie beispielsweise ein Telefon oder einen Router, setzen Sie sich mit dem Hersteller in Verbindung oder recherchieren Sie im Internet.Ändern Sie anschließend alle Passwörter und lassen Sie sich für sämtliche genutzten Geräte (Smartphones, Tablets, PC/Notebooks, usw.) neue Zertifikate ausstellen.
Unterstützung erhalten Sie von IT-Security-Spezialisten wie der KLESYS. Nachfolgende Empfehlungen helfen Ihnen, sich tiefgreifender über Heartbleed zu informieren und Vorsichtsmaßnahmen zu ergreifen.
Testen Sie zu besuchende Webseiten vorab mittels possible.lv.
Informieren Sie sich über dieses Youtube-Video, das auf Fachbegriffe weitestgehend verzichtet und so auch für IT-Laien leicht verständlich ist.
Lesen Sie nach, welche Daten nachweislich gestohlen wurden.
Warum Passwörter ändern? Ein Spiegel-Artikel beschreibt, wie Hacker das Passwort eines Anwenders stahlen und anschließend sämtliche Daten auf seinem iPhone, seinem iPad und seinem Macbook löschten, inklusive der Familienfotos seines kleinen Kindes.
Nutzen Sie den Heartbleed Detector für Android Smartphones im Google Play Store oder Chromebleed für Ihren Chrome-Browser.
Fragen Sie Ihren Firewall-Administrator, ob Ihr VPN-Zugang betroffen war und bereits abgesichert wurde.
Verwenden Sie einen zentralen Passwort-Speicherdienst wie 1Password – und hoffen Sie, dass diese Anbieter nicht bald Ziel einer Hacker-Attacke werden…
