"Heartbleed"-Bug in SSL-Verschlüsselung:Sicherheitslücke im Herzen des Internets

Illustration zur Datenspionage

Ein Serverraum: Sicherheitslücke Heartbleed ist ein kritischer Bug

(Foto: Matthias Balk/dpa)

Zwei Drittel aller Webserver sind anfällig für Angriffe, über die sich theoretisch Passwörter und Sicherheitsschlüssel auslesen lassen. Der "Heartbleed"-Bug dürfte Systemadministratoren ins Schwitzen bringen - und lässt Internetnutzer hilflos zurück. Die wichtigsten Informationen zur Sicherheitslücke.

Von Johannes Kuhn, San Francisco

Schon der Name verheißt nichts Gutes: "Heartbleed" haben Sicherheitsforscher eine nun entdeckte schwerwiegende Sicherheitslücke genannt, die offenbar schon seit mehr als zwei Jahren in der Verschlüsselungstechnik SSL existiert. Das "blutende Herz" macht den Kern der Internet-Kommunikation verwundbar - und damit die Informationen von Internetnutzern theoretisch im großen Stil auslesbar.

Was hat es mit Heartbleed auf sich? Fragen und Antworten.

Um welche Technik geht es?

Das Verschlüsselungsprotokoll SSL (Secure Socket Layer) soll für eine geschützte Verbindung zwischen Internetnutzer und dem Server, mit dem dieser kommuniziert, sorgen. Online-Shops oder E-Mail-Anbieter, aber auch soziale Netzwerke nutzen die Technik, um Kunden vor unerlaubten Mithörern zu schützen. Im Browser ist der Einsatz von SSL beispielsweise daran erkennbar, dass statt "http" ein "https" vor der Webadresse steht.

Zwei Drittel aller Webserver, von Webseiten über E-Mail-Dienste bis zu Chat-Diensten, nutzen für ihre Verschlüsselung standardmäßig die Open-Source-Variante OpenSSL - und genau dort haben Sicherheitsexperten von Google und der Security-Firma Codenomicon die "Heartbleed"-Lücke entdeckt.

Wie funktioniert Heartbleed?

SSL ermöglicht es Computern und Servern, einander Lebenszeichen zu schicken, um die Aktivität der Verbindung zu prüfen und diese stabil zu halten. Diese "Heartbeat" genannte Funktion hat aber offenbar eine gravierendes Problem.

Sicherheitsexperten konnten in einem Testsystem eine solche Lebenszeichen-Nachricht modifizieren, um Informationen vom Webserver zu kopieren. Weil OpenSSL in bestimmten Versionen ein Schutzmechanismus fehlt, ließen sich pro Angriff kleine Datenpäckchen mit einer Größe von bis zu 64 Kilobyte entwenden.

Theoretisch ließen sich so zum Beispiel Passwörter oder gar der private Schlüssel des Systems stehlen. Dieser private Schlüssel könnte dann beispielsweise verwendet werden, um weiter kodierte Kommunikation von Nutzern mit dem Server zu entschlüsseln. Sie könnten aber auch eingesetzt werden, um gefälschten Seiten den Anschein einer gesicherten, seriösen Identität zu geben - und so ebenfalls private Daten von Nutzern abzugreifen.

Wer ist betroffen?

Vor allem Systemadministratoren haben derzeit viel Arbeit, die entsprechenden Software-Updates zu installieren - wer einen Web- oder E-Mail-Server betreibt und OpenSSL verwendet, muss schleunigst aktualisieren. Updates liegen vor. Inzwischen lassen sich die eigenen Seiten auch über eine Testseite prüfen.

Endnutzer selber können sich nicht schützen, sondern müssen darauf vertrauen, dass die Betreiber der Seiten und Dienste, über die sie mit OpenSSL kommuniziert haben, ihre Hausaufgaben gemacht haben. Wer auf Nummer sicher gehen möchte, sollte seine Passwörter austauschen.

Die gute Nachricht: Gängige Browser wie der Firefox, Chrome und der Internet Explorer, aber auch Mailprogramme wie Outlook verwenden kein OpenSSL, sondern eigene Lösungen. Anbieter wie Yahoo haben inzwischen ihren Servern ein Update verpasst. Allerdings sind nicht nur Webseiten, sondern theoretisch auch Apps oder gar Smart-TVs betroffen, sofern sie OpenSSL einsetzen.

Wurde die Sicherheitslücke schon ausgenutzt?

Das ist schwer zu sagen, da sich ein solcher Angriff nur schwer nachweisen lässt. Die entsprechende OpenSSL-Version ist seit zwei Jahren auf dem Markt, theoretisch könnten findige Kriminelle oder Geheimdienste in diesem Zeitraum den Bug entdeckt und ausgenutzt haben. Kurze Zeit nach der Bekanntgabe des Bugs kursierten bereits erste selbstgebastelte Schadskripte, die über Heartbleed entsprechende Angriffe ausführen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: