News 10.04.2014, 19:19 Uhr

Heartbleed SSL-Lücke: So muss ich reagieren

Die bekannt gewordene Lücke Heartbleed in OpenSSL ist gravierend. PCtipp trägt Fakten zusammen und sagt, wie man richtig reagiert.
Es blutet das Herz! Die Backdoor in OpenSSL ab Version 1.0.1 bis 1.0.1f ist ein wuchtiger Schlag in die Magengrube aller Open-Source-Anhänger. Zwei Jahre blieb die Schwachstelle unentdeckt, immerhin wurde innerhalb Stunden ein Patch veröffentlicht. Die jetzt geschürte Panik hat jedoch nur teilweise Berechtigung, obwohl die Sache ziemlich ernst ist und das Vertrauen in die sichere Internetinfrastruktur weiter gelitten hat.
PCtipp listet im Folgenden die wichtigsten Fakten auf:

Wie kann ich mich schützen?

  1. Überprüfen Sie Ihren Webseitenbetreiber, indem Sie auf http://filippo.io/Heartbleed/ die URL der Webseite eingeben. Kommt dort eine Warnmeldung, ist Vorsicht geboten. Leuchtet die Ampel grün, können Sie zumindest davon ausgehen, dass die Lücke geschlossen ist oder gar nie eine Gefahr bestand. Wegen dem grossen Andrang ist die Webseite teilweise überlastet. Es kann daher zu Fehlermeldungen kommen. Alternativ bietet auch die Seite https://sslcheck.ch/ einen Test an.
  2. SSL-Verschlüsselung erkennen Sie am Schloss in der Adressleiste des Browsers. Klicken Sie auf das Symbol und kontrollieren Sie, ob das Zertifikat nach dem 7. April 2014 herausgegeben wurde.
    Überprüfen Sie das Zertifikat: Ist das Ausgabedatum vor dem 7. April 2014, dann bringt ein Passwortwechsel nichts

  3. Falls die Ampel grün zeigt, aber das Zertifikat nach dem 7. April 2014 herausgegeben wurde, dann ändern Sie sicherheitshalber Ihr Passwort.
  4. Falls die Ampel grün zeigt und das Zertifikat vor dem 7. April herausgegeben wurde, liegt eine potenzielle Unsicherheit vor. Unternehmen Sie vorest nichts. Denn: Entweder hat die Lücke nie bestanden, oder dann müssen Sie abwarten, bis der Betreiber ein neues Zertifikat installiert hat. Wenn Sie ganz sichergehen wollen, sollten Sie in diesem Fall auf besonders sensible Internettransaktionen verzichten und sich direkt beim Webseitenbetreiber bezüglich Heartbleed erkundigen.
  5. Bei Webseiten mit Zwei-Faktor-Authentifizierung (Login am Browser/Passwort via SMS) wie zum Beispiel bei den meisten E-Banking-Lösungen, ist die Gefahr einer Kontoübernahme via Heartbleed nicht gegeben. Voraussetzung ist jedoch, dass man sich ordentlich abmeldet, also den Logout-Button drückt und somit die Session beendet.
  6. Wir empfehlen generell, Passwörter regelmässig zu ändern und nie dasselbe Passwort für sämtliche Internetdienste zu verwenden.
 Auch die Melde- und Analysestelle des Bundes (Melani) hat eine Warnung und weitere Informationen zu Heartbleed auf ihrer Webseite aufgeschaltet.

Was genau ist betroffen?

Die fehlerhafte Software ist die OpenSLL-Bibliothek 1.0.1 bis 1.0.1f und OpenSSL 1.0.2 bis Beta1, die auf Linux-Servern und zum Teil auch in Software auf Clients eingesetzt wird. Es ist ein Implementierungs-Bug, kein Loch im Protokoll. Hauptsächlich betroffen sind Linux-Server, die ihre Verschlüsselungen auf diesen SSL-Versionen einsetzen. Man kann davon ausgehen, dass ein grosser Teil der in den letzten 2 Jahren aufgesetzten Linux-Server betroffen ist. Wie hoch die Quote tatsächlich ist, weiss niemand genau. Quellen sprechen von 17 % der Verschlüsselungen.
Die Lücke wurde am 8. April 2014 entdeckt und veröffentlicht. Somit war ein grosser Teil des gesicherten Datenverkehrs zumindest für ein paar Stunden für jeden fähigen Angreifer potenziell betroffen.
Betroffen sind Webseiten, Apps und Software, die mit Servern kommunizieren und diese Verschlüsselungstechniken verwenden. Dabei dürfen insbesondere Server nicht vergessen werden, die beispielsweise für Smartphone-Apps, Chat-Dienste (z. B. Jabber), Cloud-Speicher, Streaming-Dienste (z. B. Plex), Mail-Dienste (z. B. SMTP, POP, IMAP over SSL), OpenVPN-Zugänge verwendet werden, sofern diese OpenSSL-Bibliotheken nutzen. Ebenso müssen Netzwerkgeräte wie Router und Switches berücksichtigt werden, die entsprechende WebGUIs anbieten. OpenSSL 1.0.1g ist die erste Version, in der die Lücke beseitigt wurde.

Was kann ein Angreifer tun?

Ein Angreifer, der die Schwachstelle ausnutzt, kann unerkannt Daten wie Passwörter, Logins, Cookies etc. in 64 KB grossen Datenstücken (mit dem Ping zwischen Client & Server) aus dem Server oder Client kopieren. Mit massiven Angriffen können so in relativ kurzer Zeit ganze Arbeitsspeicher mit sensiblen Informationen, darunter auch das private Verschlüsselungszertifikat, leergeräumt werden. Fällt das private Verschlüsselungszertifikat in die Hände eine Angreifers, kann die Datenverbindung zwischen Client und Server mitgelesen werden.
Artikel drucken
Autor(in) Marcel Hauri
Kommentare
Avatar
Luca Diggelmann
11.04.2014
Hallo Gurus, schnalle es überhaupt nicht diesen Heartbleed test machen zu können! Bin ich der einzige Idiot? Hallo uwk Die Seite ist teilweise etwas überlastet. Daher kann es zu Fehlermeldungen kommen. Alternativ gibt es einen Test auch auf dieser Seite: https://sslcheck.ch/ Grüsse, Luca
Avatar
ebas
11.04.2014
Heartbleed Mittlerweile haben alle Partner von «eBanking – aber sicher!» ihre Systeme aktualisiert oder waren nicht verwundbar. Gegenwärtig werden die Server-Zertifikate ausgetauscht. Dieser Prozess sollte in den nächsten ein bis drei Tagen abgeschlossen sein. Wir empfehlen für Ihre Sicherheit: - Alle für Online-Anmeldungen verwendeten Passwörter auswechseln (Bitte beachten Sie dabei auch unsere 6 Regeln für ein sicheres Passwort: www.ebankingabersicher.ch/securepassword). - Vor Verwendung gesicherter Verbindungen auf der Seite http://filippo.io/Heartbleed abzufragen, ob der gewünschte Server (noch) verwundbar ist. - Die Informationen, welche die Finanzinstitute auf ihren Webseiten publizieren, beachten. Auf der Webseite www.ebankingabersicher.ch finden Sie weitere praxisnahe und einfach verständliche Informationen zu notwendigen Massnahmen und Verhaltensregeln, für einen sicheren Umgang im E-Banking. «eBanking – aber sicher!» www.ebankingabersicher.ch / www.ebas.ch
Avatar
uwk
11.04.2014
Heartbeed SSL Lücke Hallo uwk Die Seite ist teilweise etwas überlastet. Daher kann es zu Fehlermeldungen kommen. Alternativ gibt es einen Test auch auf dieser Seite: https://sslcheck.ch/ Grüsse, Luca Hallo Luca, Und es funktioniert! Erhaltene Antwort: Der Server ist nicht von der Heartbleed-Lücke betroffen! Danke
Avatar
patrick
14.04.2014
Das mit dem Zertifikat-Ausstelldatum stimmt so nicht. Ich habe selber einige Zertifikate sowie Keys ausgetauscht, Laufzeit (Ausstelldatum, Ablaufdatum) wurden 1:1 vom alten Zertifikat übernommen, während es jedoch eine neue Seriennummer bzw. Fingerprints gab.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.
Das könnte Sie auch interessieren
Parallelbetrieb vor 7 Stunden
Tastatur und Maus zwischen Windows- und Linux-PC oder Mac teilen
Haben Sie einen Linux-Laptop, den Sie mit Maus und Tastatur vom Windows-PC aus bedienen wollen (oder umgekehrt), bekommen Sie dies mit einem kleinen Open-Source-Tool hin.
 
vor 7 Stunden
Web vor 10 Stunden
Frosted Glass: Nachbildung des UI-Effekts
Inspiriert durch Videospiele soll der Frosted-Glass-Effekt Ihre Webanwendung verschönern. Schritt-für-Schritt-Anleitung und Beispielcode inklusive.
 
vor 10 Stunden
Verkaufsanteil von 35 % vor 1 Tag
Die E-Vignette hat sich 2024 in der Schweiz rasch etabliert
Für das Vignettenjahr 2024 konnten Käuferinnen und Käufer erstmals zwischen der konventionellen Klebevignette und der E-Vignette wählen. Gut ein Drittel der Käuferinnen und Käufer entschied sich für die digitale Variante.
 
vor 1 Tag
Tab-Tipp vor 4 Tagen
Schnell Browser-Tabs aufräumen
Nutzen Sie die nützlichen Kontextmenü-Befehle in Ihrem Browser schon oder klicken Sie die nicht gebrauchten Tabs noch einzeln weg?
 
vor 4 Tagen