Sicherheitslücke: BSI sieht keine Gefahr durch Heartbleed mehr

Heartbleed gilt als eine der gravierendsten Sicherheitslücken in der Geschichte des Internets. Einen Monat danach scheint die Gefahr größtenteils gebannt zu sein, auch wenn noch nicht alle Betroffenen reagiert haben.

Einen Monat nach Bekanntwerden der Sicherheitslücke Heartbleed hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut BSI haben die wichtigsten Websites inzwischen reagiert und die Sicherheitslücke geschlossen, die durch einen Fehler in der Verschlüsselungs-Software OpenSSL entstand.

So optimistisch zeigen sich allerdings nicht alle Experten: Laut Erratasec, einem Dienstleister für Internetsicherheit, sind weltweit immer noch mehr als 300.000 Webseiten unsicher. Auch nach Angaben von Netcraft haben noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate. Sie wären damit immer noch anfällig für einen Angriff, durch den ein Angreifer alles mitlesen kann, was über eine vermeintlich sichere Verbindung geschickt wird, zum Beispiel Passwörter für Onlinebanking.

Das Problem: Der Fehler in der Kryptografiesoftware OpenSSL war zwar schnell behoben, doch reicht es nicht, wenn ein Website-Betreiber nur die fehlerhafte Software austauscht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptografischen Schlüssel des Servers auslesen. Die Schlüssel wiederum werden in Zertifikate integriert. Diese werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Kein funktionierendes System zur Überprüfung von Zertifikaten

Administratoren betroffener Websites oder E-Mail-Anbieter müssen zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein “Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzt, Opfer dort hinlockt und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite”. Der Aufwand ist also nicht unerheblich.

Zertifikatsprüfung weitgehend nutzlos

“Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen”, heißt es vom BSI.

Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagt auch der Kryptografie-Experte und Golem.de-Autor Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne, so dass das Zertifikat trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Website oder ein E-Mail-Anbieter muss seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Viele große Anbieter hätten das auch getan, “schon allein, um eventuelle Haftungsfragen auszuschließen”, teilte das BSI mit.

Hacker hatten keine Zeit, die Sicherheitslücke zu nutzen

Nach geltendem Datenschutzrecht müssen Einbrüche bei Plattformen, bei denen Daten gestohlen wurden, den Datenschutzbehörden gemeldet werden. Andernfalls drohen Bußgelder von bis zu 300.000 Euro. “Dem BSI wurden keine Vorfälle aus Deutschland gemeldet”, hieß es aus der Behörde. Auch große Internetkonzerne wie Google mit seinem E-Mail-Dienst Gmail gaben zwar an, von dem Heartbleed-Fehler betroffen zu sein. Dort waren die Lücken laut Google jedoch schon geschlossen, bevor die Heartbleed-Lücke öffentlich bekanntwurde. Google-Mitarbeiter hatten den Fehler gleichzeitig mit zwei unabhängigen Experten entdeckt.

Möglicherweise führte die massive Aufmerksamkeit zu einer so raschen Reaktion der meisten Betroffenen, dass potentielle Angreifer kaum Zeit hatten, die Sicherheitslücke effizient auszunutzen. Der einzige bekannte Fall ist der eines kanadischen Hackers, der sich über die Heartbleed-Lücke Zutritt zu Finanzbehörden verschaffte. Er wurde kurz darauf verhaftet.

Dennoch gibt es immer noch Grund zur Vorsicht: Vor allem über Links in Spam-Mails können Anwender auf gefälschte Websites gelangen, die mit bereits ungültigen Zertifikaten vom Browser als vertrauenswürdig eingestuft werden. Vermeintlich gesicherte Websites sollten beim ersten Besuch genau betrachtet werden, oft sind dort Unregelmäßigkeiten erkennbar, etwa sprachliche Fehler.

Nach Einschätzung des BSI ist die Gefahr beim Thema Heartbleed größtenteils gebannt. Erfahrungsgemäß bleibe zwar immer ein gewisser Prozentsatz an nicht aktualisierten Seiten übrig, man rechne jedoch nicht mehr mit massiven Fällen, hieß es von der Behörde.

 

Ursprünglich veröffentlicht:

www.golem.de/news/sicherheitsluecke-bsi-sieht-keine-gefahr-durch-heartbleed-mehr-1405-106573.html

This entry was posted in Sicherheit and tagged , . Bookmark the permalink.