"Heartbleed"-Lücke

Experte empfiehlt: Überdenken Sie Ihre Passwörter!

(Bild: thinkstockphotos.de, krone.at-Grafik)

Die User sollten die "Heartbleed"-Schwachstelle bei der Verschlüsselungs-Software OpenSSL dazu nutzen, ihre Passwort-Politik zu überdenken. Otmar Lendl vom Computer Emergency Response Team (CERT.at) empfahl am Freitag, für verschiedene Webzugänge auch verschiedene Passwörter zu verwenden - oder gleich auf einen sogenannten Passwort-Safe umzusteigen.

Die Betreiber, egal ob Bank oder kleiner Webshop-Anbieter, können mit einem Patch die Sicherheitslücke schließen. Sie benötigen dann aber noch ein neues Zertifikat, das in der Verbindung zweier Computer sozusagen bestätigt, dass es sich auch wirklich um den angegebenen Webserver handelt. Keineswegs dürften sie aber darauf vergessen, das alte Zertifikat zurückzulegen, betonte der Fachmann. Danach liege es an ihnen und ihrer Risikoabschätzung, wie sie mit dem Kundendaten umgehen - etwa ob sie diesen neue Passwörter zuweisen.

Der Umgang mit diesen ist offenbar die größte Gefahr. Laut Lendl würden nämlich viele User bei verschiedenen Anbietern dieselben Zugangsdaten verwenden, egal ob bei Amazon, eBay, PayPal oder dem Kleingartenverein. Während große Anbieter sehr auf die Sicherheit bedacht wären, würden letztere die Sicherheitslücke vielleicht erst in Monaten oder Jahren schließen. Doch wenn Kriminelle das Passwort dort ergattern, können sie woanders auch Zugriff erhalten und so großen Schaden anrichten. Ein Online-Test kann aber dazu verwendet werden, die Sicherheit einer Seite zu testen.

Sicherheitslücke soll zum Nachdenken anregen
So sei die "Heartbleed"-Schwachstelle vielleicht ein guter Anstoß, die bisherige persönliche Praxis zu überdenken, und ab sofort verschiedene Passwörter zu verwenden. Noch einfacher geht es mit einem Passwort-Safe, der entweder im Browser oder dem Virenschutzprogramm integriert werden kann. Aber es gibt auch eigene Software dazu. Hier muss man sich auch nur einen einzigen Mastercode merken, die Zugangsdaten lassen sich dann per Copy-Paste bei den unterschiedlichen Websites eingeben.

Bis dato seien bei CERT.at zwar zahlreiche Anfragen eingegangen, aber noch keine einzige Meldung von einem tatsächlichen Schaden, meinte Lendl. "Aber das heißt nicht viel. Die wirklich guten Angreifer warten ab, bis der Hype vorüber ist und schlagen erst dann zu. Dann sind ihre Chancen höher, damit durchzukommen."