ARGE Daten warnt:

Noch Tausende Webserver von “Heartbleed” betroffen

(Bild: heartbleed.com, krone.at-Grafik)

Noch "einige Tausend österreichische Webserver" sind von der "Heartbleed" genannten Sicherheitslücke in der weitverbreiteten Verschlüsselungssoftware OpenSSL betroffen, warnt die ARGE Daten am Montag. Insbesondere Server des öffentlichen Schul- und Bildungswesens seien nach wie vor undicht, so die Datenschützer.

Laut ARGE Daten ist die fehlerhafte Software auf etwa 40 Prozent der in Österreich laufenden Apache-Server - mit mehr als 100.000 Installationen - vorhanden. Durch die Lücke sind Passwörter und andere vertrauliche Informationen offen zugänglich.

Eine vertrauliche Stichprobenüberprüfung durch eine IT-Sicherheitsfirma am Wochenende zeigt, dass in Österreich einige Hundert Server von Behörden, Bundes- und Landesstellen betroffen seien, so ARGE Daten. Auch zahlreiche Gemeinden würden mit unsicheren Serverinstallationen "glänzen".

Informationspflicht für Betreiber
Die Datenschützer weisen darauf hin, dass betroffene Nutzer laut Gesetz durch den Serverbetreiber über die Lücke verständigt werden müssen. "Das absolute Minimum an Informationspflicht ist die Bekanntgabe der Lücke auf der jeweiligen Website des Betreibers. Wenn Benutzer nur selten eine Website nutzen oder wo besonders hoher Schaden droht, ist zusätzlich eine direkte Verständigung der Betroffenen erforderlich", so Hans Zeger, Obmann der ARGE Daten.

Nachlässigen Betreibern drohen Verwaltungsstrafen
Außerdem besteht die Pflicht zur unverzüglichen Beseitigung der Lücke. Im konkreten Fall ist die Schwachstelle relativ einfach zu beheben, daher müsse sie laut Zeger auch innerhalb eines Tages geschlossen werden. Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen, so die Datenschützer. Laut der ARGE Daten drohen Betreibern, die nicht unverzüglich reagieren, neben Schadenersatz auch Verwaltungsstrafen.