Banner

Wie bereits in den letzten Tagen durch die Medien bekannt geworden, sind unzählige Internetseiten weltweit vom so genannten "Heartbleed-Bug" betroffen. Bei Heartbleed handelt es sich um eine der kritischsten Sicherheitslücken , die das Internet jemals getroffen hat. Sie betrifft das Verschlüsselungsprotokoll OpenSSL, dass genutzt wird, um sensible Daten wie Passwörter, Kreditkarteninformationen, etc. sicher zu übertragen.

Der Fehler ist seit der in März 2012 veröffentlichten Version des Programms enthalten. Die neuste Version von OpenSSL schließt diese Sicherheitslücke.

Als ZIM haben wir sofort nach Bekanntwerden des "Heartbleed-Bugs" reagiert und, wo vorhanden, Schwachstellen geschlossen und sowohl Schlüssel als auch Sicherheitszertifikate für die Webdienste des ZIM ausgetauscht.

Die Nutzung unserer Dienste ist damit nicht weiter von dieser Sicherheitslücke betroffen und sicher.

Da nicht ausgeschlossen werden kann, dass vor Veröffentlichung der Sicherheitslücke Angreifer an einzelne Zugangsdaten gelangt sind, empfehlen wir ihnen nachdrücklich, dass Sie das Passwort zu ihrer Unikennung über das Selfcare-Portal unserer Benutzerverwaltung ändern.

Zudem sollten Sie alle Passwörter bei den von ihnen genutzten Diensten im Internet ändern. Hinweise dazu finden Sie unter Heartbleed-Hinweise.

Informationen und Empfehlungen zum Passwortwechsel finden Sie unter Sicheres Passwort. Beachten Sie bitte, dass eine Änderung des Passworts zu ihrer Unikennung insbesondere Auswirkungen auf die Nutzung des WLAN über eduroam hat (siehe auch Heartbleed-Hinweise).

 

Bin ich bzw. wer ist betroffen?

Betroffen sind alle Webserver und Internetseiten, die OpenSSL einsetzen. Experten gehen davon aus, dass dies auf ca. 50-66% aller Webseiten weltweit zutrifft. Dies bedeutet natürlich auch, dass die Nutzer dieser Webseiten betroffen sind. Aus diesem Grund können Sie mit hoher Wahrscheinlichkeit davon ausgehen, dass Sie betroffen sind. Nach Aussagen von Heise Security gibt es zwar bislang keine Hinweise darauf, dass die Lücke gezielt missbraucht wurde, aber trotzdem sollte man auf Nummer sicher gehen und seine Passwörter ändern.

 

Wie können Sie sich schützen?

Nachdem die Betreiber der betroffenen Webserver OpenSSL aktualisiert haben, sollten Sie umgehend alle Passwörter ändern. Angefangen bei Ihrer primären E-Mail-Adresse, da mit diesem Zugang die Passwörter auf anderen Seiten (z.B. Onlinehändler) zurückgesetzt werden können.

Hintergrundinformation

Was ist Heartbleed bzw. OpenSSL?

Bei Heartbleed handelt es sich um die wahrscheinlich kritischste Sicherheitslücke, die das Internet jemals getroffen hat. Darum ist der Name Heartbleed (engl. Herzbluten) gar nicht mal so unpassend gewählt. Experten schätzen, dass mindestens eine halbe Millionen Webserver betroffen sind.

Die Heartbleed-Sicherheitslücke ist Teil von OpenSSL. Mit OpenSSL werden sensible Daten (Passwörter, Kreditkarteninformationen etc.) verschlüsselt durch das Internet gesendet. Aber auch bei E-Mail-Diensten, Chatprogrammen oder Online-Banking wird diese Software genutzt. Der Name Heartbleed bezieht sich auf die Funktion, in der sich die Sicherheitslücke befindet. Es handelt sich hierbei um die OpenSSL-Funktion Heartbeat. Ihre Aufgabe ist es, die verschlüsselte Verbindung über eine längere Zeit aufrechtzuerhalten. Die Sicherheitslücke sorgt dafür, dass der Server informationstechnisch ausblutet.

Was ist an Heartbleed/OpenSSL so problematisch?

OpenSSL ist eines der am meist genutzten Verschlüsselungsprogramme weltweit. Durch diese Sicherheitslücke war es Angreifern möglich, auf den Arbeitsspeicher von Webservern zuzugreifen. Dort konnten sie dann nicht nur die verschickten Daten, sondern auch die verwendeten Schlüssel stehlen. Durch die entwendeten Schlüssel ist es den Angreifern möglich, jegliche Kommunikation zu entschlüsseln bzw. diese auch vorzutäuschen. D.h. Angreifer können vortäuschen, die angesteuerte Webseite zu sein. Da OpenSSL eine freie Software ist, ist es jedem möglich, den Quellcode zu sehen. Das Suchen nach einer Sicherheitslücke ist dadurch für Angreifer besonders einfach.