Opfer in Österreich

Fatales Security-Problem öffnet Hackern Tür & Tor

Web
09.04.2014 14:00
Sicherheitsexperten warnen vor einem fatalen Fehler in der weitverbreiteten Verschlüsselungs-Software OpenSSL. Eine Sicherheitslücke namens "Heartbleed" ermögliche es, Passwörter sowie die zur Verschlüsselung benutzten Codes zu stehlen, teilte das auf Internetsicherheit spezialisierte Unternehmen Fox-IT mit. In Österreich gibt es bereits erste Opfer: Erste Bank, das Justizministerium und die Wiener Linien. Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Fehler als kritisch ein. OpenSSL wird dazu benutzt, sensible Daten wie zum Beispiel Passwörter oder Kreditkarteninformationen zu verschlüsseln, während sie durchs Internet gesendet werden. Angewendet wird es zum Beispiel von E-Mail-Diensten oder beim Online-Banking.

Sicherheitslücke bietet Hackern viele Möglichkeiten
Die "Heartbleed" (Herzbluten) getaufte Sicherheitslücke ermöglicht es Angreifern, auf den Arbeitsspeicher von Webservern zuzugreifen, die OpenSSL einsetzen. Dort können dann sowohl die verschickten Daten als auch die für ihren Schutz verwendeten Schlüssel gestohlen werden.

Im letztgenannten Fall könnten Angreifer "jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein", hieß es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde. Hacker könnten unbegrenzt viele Angriffe mithilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, erklärte Fox-IT.

Auch österreichische Onlineangebote betroffen
In Österreich dürften dem Computer Emergency Response Team (CERT.at) zufolge "mindestens 30.000 Server und fünf bis 15 Prozent aller '.at'-Domains betroffen sein". Besonders kritisch sehen die Experten, dass die Schwachstelle auch problemlos von Laien ausgenutzt werden könne. Bei den Angriffen würden zwar nur kleine Datensätze in der Größe von 64 Kilobyte ausgelesen, jedoch könnten diese beliebig oft wiederholt werden.

Vom Hacker-Kollektiv "AnonAustria", dem österreichische Anonymous-Ableger, wurde die Schwachstelle bereits ausgenutzt. Betroffen waren etwa die Erste Bank, das Justizministerium und die Wiener Linien. Die Hacker publizierten ihre "Erfolge" auf Twitter.

"Und der Rest soll bitte von selbst aktiv werden und die nötigen Maßnahmen setzen (Update, neue Certs ...). Das ist immerhin euer Job!", twitterten die Internet-Aktivisten. Der OpenSSL-Fehler machte aber nicht nur heimischen Webseiten Probleme, auch der Betreiber von Wikipedia hat seine Software upgedatet und empfiehlt seinen Usern den Wechsel des Passworts. OpenSSL stellte das Update, das die Sicherheitslücke schließt, bereits in der Nacht auf Dienstag zur Verfügung.

Betreiber von Webservern sollten umgehend updaten
Der Software-Fehler ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde, wie das BSI mitteilte. Die Schwachstelle sei "als kritisch einzustufen". Inzwischen steht eine neue Version des Programms zur Verfügung, das die Sicherheitslücke schließt.

Betreiber von Webservern, die OpenSSL benutzen, sollten "umgehend" auf die neueste Version aktualisieren, erklärte das BSI. Danach sollten die verwendeten Schlüssel, die dazugehörigen Zertifikate sowie Passwörter geändert werden. In Internetforen wurde auch Verbrauchern geraten, vorsichtshalber Passwörter, etwa für E-Mail-Dienste oder den Online-Einkauf, zu ändern.

Erfolgreicher Angriff auf Yahoo – Update eingespielt
Sicherheitsexperten gelang es nach eigenen Angaben, mithilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte, das Problem sei inzwischen behoben. Laut heartbleed.com setzt rund die Hälfte aller Webseiten weltweit OpenSSL ein. Es seien aber nicht alle von dem Software-Fehler betroffen. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.

Das auf möglichst große Anonymität im Internet ausgerichtete Tor-Projekt riet Nutzern, für die anonymes Surfen besonders wichtig ist, sich "die nächsten Tage komplett vom Internet fernzuhalten". Sie sollten abwarten, bis das OpenSSL-Update weite Verbreitung gefunden habe und die Schlüssel und dazu gehörigen Zertifikate ausgetauscht worden seien.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele