Die am Wochenanfang gemeldete [1] Heartbleed-Lücke in OpenSSL entwickelte sich im Laufe der letzten Tage immer mehr zum IT-Sicherheits-Super-GAU, welcher nun auch die normalen Anwender ultimativ zum Handeln zwingt. OpenSSL wird als Kryptographie-Lösung in vielen Programmen verwendet, hauptsächlicher Einsatzzweck besteht in der Verarbeitung von verschlüsselten https-Verbindungen, beispielsweise zu Online-Diensten, Mail-Servern, Online-Banken, usw. Dabei ermöglicht die Lücke zum einen das Auslesen der Nutzer-Passwörter im Klartext (je nachdem wer sich zuletzt eingeloggt hat), zum anderen aber auch das Auslesen des SSL-Zertifikats der jeweiligen Webseiten, womit Geheimdienste und Internetkriminelle den Datenverkehr mitlesen können, selbst wenn dieser verschlüsselt ist.
Damit ergeben sich zwei Aufgaben: Die erste betrifft die Anwender, jene müssen umgehend ihre Passwörter ändern. Dies betrifft alle Passwörter, welche für Online-Dienste gleich welcher Art angelegt wurden. Sicher benutzt nicht jeder Online-Dienst die bugbehafteten OpenSSL-Versionen (das 3DCenter-Forum [2] beispielsweise nicht, hierfür muß man keine Passwörter ändern), aber generell dürfte es zu aufwendig sein, dies für jeden Dienst extra festzustellen – ergo gilt die glatte Regel: Alle auf Online bezogenen Passwörter sind umgehend zu ändern. Hier und da dürften sich noch einige Programme ergeben, welche in neuer, Bug-bereinigter Version aufgelegt werden. Glücklicherweise wird OpenSSL nicht von den wichtigen Browsern und Anwendungsprogrammen benutzt, sondern meist nur bei Server-seitigen Programmen und Betriebssystemen.
Gleichzeitig müssen die Online-Anbieter auf ihren Servern sowohl eine fehlerbereinigte OpenSSL-Version einspielen als auch sich neue SSL-Zertifikate ausstellen lassen – und hier hakt es, wie Heise Security [3] ausführen. Viele Anbieter haben erst recht spät reagiert, einige Anbieter bislang noch gar nicht – was dann eine zusätzliche erhebliche Gefahr für die Anwender darstellt. Von wirklich sicherheitskritischen Webseiten – wie Online-Banking – sollte man derzeit die Finger lassen, bis der jeweilige Dienst explizite Entwarnung gegeben hat. Wichtig ist dabei wie gesagt nicht nur die fehlerbereinigte OpenSSL-Version, sondern auch das neue SSL-Zertifikat – denn schließlich kann der Schlüssel des bisherigen Zertifikats durch die Heartbleed-Lücke ausgelesen und damit in der Welt verbreitet worden sein.
Da diese zweite wesentliche Maßnahme zur Bekämpfung der Heartbleed-Lücke letztlich nicht durch den normalen Anwender im vollen Umfang kontrollierbar ist, kann man durchaus darüber nachdenken, das ganze Passwort-Wechseldich-Spiel in zwei bis drei Wochen – dann, wenn man annehmen darf, daß wirklich alle Anbieter von Online-Diensten reagiert haben – nochmals durchzuführen. Dies mag sich umständlich anhören, ist aber die einzige Lösung, die wirklich sicher ist – außer, sich derzeit nirgendwo mehr einzuloggen oder aber das Internet gleich ganz ausgeschaltet zu lassen. Immerhin kann man die Gelegenheit nutzen, um sich über sichere Passwörter [4] sowie Passwort-Manager [5] Gedanken zu machen.
Verweise:
[1] http://www.heise.de/security/meldung/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[2] http://www.forum-3dcenter.org/vbulletin/
[3] http://www.heise.de/security/meldung/Passwort-Zugriff-Heartbleed-Luecke-mit-katastrophalen-Folgen-2166861.html
[4] https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
[5] http://www.computerwoche.de/a/die-besten-passwort-manager,2519783