Die am Wochenanfang gemeldete Heartbleed-Lücke in OpenSSL entwickelte sich im Laufe der letzten Tage immer mehr zum IT-Sicherheits-Super-GAU, welcher nun auch die normalen Anwender ultimativ zum Handeln zwingt. OpenSSL wird als Kryptographie-Lösung in vielen Programmen verwendet, hauptsächlicher Einsatzzweck besteht in der Verarbeitung von verschlüsselten https-Verbindungen, beispielsweise zu Online-Diensten, Mail-Servern, Online-Banken, usw. Dabei ermöglicht die Lücke zum einen das Auslesen der Nutzer-Passwörter im Klartext (je nachdem wer sich zuletzt eingeloggt hat), zum anderen aber auch das Auslesen des SSL-Zertifikats der jeweiligen Webseiten, womit Geheimdienste und Internetkriminelle den Datenverkehr mitlesen können, selbst wenn dieser verschlüsselt ist.

Damit ergeben sich zwei Aufgaben: Die erste betrifft die Anwender, jene müssen umgehend ihre Passwörter ändern. Dies betrifft alle Passwörter, welche für Online-Dienste gleich welcher Art angelegt wurden. Sicher benutzt nicht jeder Online-Dienst die bugbehafteten OpenSSL-Versionen (das 3DCenter-Forum beispielsweise nicht, hierfür muß man keine Passwörter ändern), aber generell dürfte es zu aufwendig sein, dies für jeden Dienst extra festzustellen – ergo gilt die glatte Regel: Alle auf Online bezogenen Passwörter sind umgehend zu ändern. Hier und da dürften sich noch einige Programme ergeben, welche in neuer, Bug-bereinigter Version aufgelegt werden. Glücklicherweise wird OpenSSL nicht von den wichtigen Browsern und Anwendungsprogrammen benutzt, sondern meist nur bei Server-seitigen Programmen und Betriebssystemen.

Gleichzeitig müssen die Online-Anbieter auf ihren Servern sowohl eine fehlerbereinigte OpenSSL-Version einspielen als auch sich neue SSL-Zertifikate ausstellen lassen – und hier hakt es, wie Heise Security ausführen. Viele Anbieter haben erst recht spät reagiert, einige Anbieter bislang noch gar nicht – was dann eine zusätzliche erhebliche Gefahr für die Anwender darstellt. Von wirklich sicherheitskritischen Webseiten – wie Online-Banking – sollte man derzeit die Finger lassen, bis der jeweilige Dienst explizite Entwarnung gegeben hat. Wichtig ist dabei wie gesagt nicht nur die fehlerbereinigte OpenSSL-Version, sondern auch das neue SSL-Zertifikat – denn schließlich kann der Schlüssel des bisherigen Zertifikats durch die Heartbleed-Lücke ausgelesen und damit in der Welt verbreitet worden sein.

Da diese zweite wesentliche Maßnahme zur Bekämpfung der Heartbleed-Lücke letztlich nicht durch den normalen Anwender im vollen Umfang kontrollierbar ist, kann man durchaus darüber nachdenken, das ganze Passwort-Wechseldich-Spiel in zwei bis drei Wochen – dann, wenn man annehmen darf, daß wirklich alle Anbieter von Online-Diensten reagiert haben – nochmals durchzuführen. Dies mag sich umständlich anhören, ist aber die einzige Lösung, die wirklich sicher ist – außer, sich derzeit nirgendwo mehr einzuloggen oder aber das Internet gleich ganz ausgeschaltet zu lassen. Immerhin kann man die Gelegenheit nutzen, um sich über sichere Passwörter sowie Passwort-Manager Gedanken zu machen.