E-Banking ist in den nächsten 48 Stunden tabu

Diese Nachricht hat eingeschlagen wie eine Bombe: Der Bug namens Heartbleed ist eine Art Super-Gau für Systemadministratoren und bringt derzeit IT-Spezialisten rund um den Globus zum Hyperventilieren. Der Grund: Das blutende Herz gefährdet bisher als sicher angesehene verschlüsselte Verbindungen über OpenSSL.

Dieser Begriff mag den wenigsten etwas sagen, doch praktisch alle nutzen täglich gesicherte Verbindungen: beim Lesen von E-Mails, beim Einkaufen in Online-Shops, bei der Nutzung von sozialen Netzwerken wie Facebook, oder auch beim E-Banking. Die gesicherten Verbindungen erkennt man meist in der Adresszeile des Browsers, wo «https» statt «http» steht.

Die schwerwiegende Sicherheitslücke macht diese nun verwundbar: Hacker könnten über den Bug auf Webserver gelangen, dort den privaten Schlüssel abgreifen und so im grossen Stil an Informationen wie zum Beispiel Passwörter oder Kreditkartendaten gelangen. Durch die Lücke können Angreifer «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Website zu sein», hiess es auf der Internetseite Heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.

Die Melde- und Analysestelle Informationssicherheit (MELANI) in Bern richtete eine Warnung an die Internetnutzer. Der stellvertretende MELANI-Leiter Max Klaus sagte am Mittwoch zu Radio SRF, er empfehle, in den nächsten 48 Stunden auf alle Übermittlungen sensibler Daten im Internet — dazu zähle E-Banking — wenn möglich zu verzichten.

Sicherheitsforscher der Firma Fox-IT haben die Lücke diese Woche publik gemacht. Schätzungen zufolge sind rund die Hälfte aller Webserver weltweit gefährdet. «Wenn Sie auf eine starke Anonymität und Privatsphäre angewiesen sind, sollten Sie in den nächsten Tagen das Internet meiden», heisst es im Blog des Anonymisierungsdienstes Tor. Der Fehler soll bereits seit zwei Jahren bestehen.

Ob die Lücke während dieser Zeit ausgenutzt wurde, ist schwer zu sagen, da solche Angriffe nur schwer nachzuweisen sind. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben.

Da OpenSSL — auch für kommerzielle Nutzung — gratis ist, ist das Protokoll weit verbreitet. Betroffen sind darum nicht nur Websites, sondern auch Chat-Dienste, Apps oder potenziell auch smarte Geräte, die über OpenSSL kommunizieren. Gefordert sind nun vor allem Systemadministratoren: Sie müssen bereits verfügbare Updates für OpenSSL so schnell wie möglich installieren. Der Internetuser bleibt indes hilflos zurück und muss hoffen, dass die Betreiber von Webservern ihre Hausaufgabe machen.