BSI warnt vor Lücke in OpenSSL: „Heartbleed“ ermöglicht Datenklau

Gepostet am Apr 9, 2014

BSI warnt

Kritische Sicherheitslücke in SSL-Verschlüsselung ermöglicht Datenklau

09.04.2014, 16:32 Uhr | dpa

Kritische Sicherheitslücke in SSL-Verschlüsselung ermöglicht Datenklau. Mann tippt auf einer Tastatur. (Quelle: imago\Jochen Tack)

Eine Lücke in der SSL-Verschlüsselung ermöglicht Datenklau. (Quelle: Jochen Tack/imago)

In der meistgenutzten Verschlüsselungs-Software OpenSSL steckt eine gravierende Sicherheitslücke, über die Angreifer Daten auslesen und abgreifen können. Vor allem die für SSL verwendeten Schlüssel der Nutzer sind betroffen und können gestohlen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Schwachstelle als kritisch eingestuft. Ein Update für die Betreiber von Webservern steht bereits zur Verfügung. Endnutzer können die Sicherheit ihrer Online-Dienste mit einem Test überprüfen.

Die SSL-Verschlüsselung gilt als besonders sicher und soll Daten beim Transport über das Internet vor Ausspähung und Diebstahl schützen. Dazu werden die Daten vor dem Senden mit einem privaten Schlüssel des Absenders verschlüsselt und sind dann für einen Angreifer unlesbar. Nur der berechtigte Empfänger kann die Daten mit einem weiteren Schlüssel wieder lesbar machen. Die schwerwiegende Sicherheitslücke in OpenSSL erlaubt Angreifern, den privaten Schlüssel zu stehlen.

„Das sind die Kronjuwelen“, warnten die Experten von Google und dem Sicherheitsanalyse-Unternehmen Codenomicon, die den Bug entdeckten. Der IT-Nachrichtendienst Heise sprach von einem „Gau für Verschlüsselung im Web“. „Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird“, sagte Falk Garbsch vom Chaos Computer Club (CCC) der dpa. So könne ein Angreifer beispielsweise Passwörter stehlen.

Heartbleed blutet Informationen aus

Das Sicherheitsleck setzt direkt am Anfang einer Verbindung mit einem Webdienst an. Dort tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern „Heartbleed“ genannt, weil er Informationen „ausblutet“. Die Schwachstelle „erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben“, schrieben die Entdecker.

Die SSL-Verschlüsselung kommt in den unterschiedlichsten Anwendungen zum Einsatz. Ob Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter, alle nutzen SSL-Verschlüsselung zum Schutz der Daten. Eine per SSL geschützte Datenübertragung per Browser erkennt der Nutzer an dem „https“ in der Adresszeile. OpenSSL sei einer der am meisten genutzten Bausteine oder „Bibliotheken“, sagte Garbsch vom CCC. Somit ist davon auszugehen, dass eine Vielzahl an Webdiensten von der Lücke betroffen sind.

Update schließt Lücke ohne die Gefahr ganz zu bannen

OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. „Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah dieses Update durchführen“, sagte Garbsch. Der normale Internetnutzer muss hier keine speziellen Maßnahmen ergreifen, denn SSL wird vor allem auf Servern von Internetdienstleistern betrieben.

Doch auch das Update schließt das Einfallstor für Angreifer nicht komplett. Denn sie könnten bereits erbeutete Schlüssel weiter zum Ausspähen von Daten einsetzen. Das BSI rät daher Betreibern von Webdiensten, die Schlüssel mitsamt der zugehörigen Zertifikate auszutauschen.

Online-Dienste auf SSL-Lücke überprüfen

Internetnutzer können selbst testen, ob von ihnen besuchte Webseiten und genutzte Online-Dienste von der aktuellen Sicherheitslücke in der Software OpenSSL betroffen sind. Zwei Tests stehen derzeit im Internet unter den Adressen http://filippo.io/Heartbleed/ und possible.lv/tools/hb zur Verfügung.

Auch NSA hat Verschlüsselungstechniken im Visier

Wie ein so schwerwiegender Fehler in eine weit verbreitete Software kommen konnte, ist unklar. „Ob das darauf zurückzuführen ist, dass jemand absichtlich manipuliert hat, ist schwer zu sagen“, meinte Garbsch. „Auszuschließen ist das nicht.“ OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.

Neben Hackern und Online-Kriminellen habe der US-Geheimdienste NSA laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt. Bereits im Dezember meldete die Nachrichtenagentur Reuters, dass die NSA das Unternehmen RSA ? Entwickler eines anderen Verschlüsselungsverfahrens ?10 Millionen Dollar gezahlt haben soll, damit in die Schlüssel-Algorithmen ein Fehler eingebaut wird. Dieser Fehler diene der NSA als Hintertür, um die Verschlüsselung von Daten zu knacken.

Weitere spannende Digital-Themen finden Sie hier.

  • Tags:
  • Computer,
  • Datensicherheit,
  • Digital,
  • NSA,
  • BSI,
  • Chaos Computer Club,
  • Google,
  • Update,
  • Verschlüsselung,
  • Passwörter,
  • Geheimdienste,
  • Internet

Mehr zum Thema

alle passenden Artikel

weniger Artikel anzeigen

weitere Infos DAS HIER hab ich gefunden!!!

Verwandte Beiträge