Heartbleed - Wie sicher ist „sichere“ Kommunikation im Netz?

Um sensible Daten wie z.B. Benutzernamen und Kennwörter, Kreditkartennummern oder auch vertrauliche Kommunikation auf dem Weg durch das Internet zu schützen, wurden mit der SSL-Technologie (Secure Sockets Layer, heute Transport Layer Security (TLS) ein weltweit verwendetes Protokoll zur Verschlüsselung solcher Daten etabliert. Im Webbrowser ist eine solche „sichere“ Verbindung leicht am Schloss-Symbol sowie am https:// in der Adresszeile des Browsers zu erkennen. Praktisch alle Internetnutzer nutzen entsprechende Technologien daher täglich: beim Einloggen in ihren E-Mail-Dienst, für beim Online-Banking usw. 

Was ist Heartbleed?

Die bei SSL/ TLS verwendete Verschlüsselungstechnologie sollte gewährleisten, dass nur Sender und der gewünschte Empfänger in der Lage sind, die Inhalte der Kommunikation zu lesen. Für Dritte sollte der Zugriff bestenfalls gar nicht, oder nur unter immensem Aufwand an Zeit und Rechenleistung möglich sein.

Der im April 2014 öffentlich bekannt gewordene Fehler „Heartbleed“ (so genannt, weil er in einer „Heartbeat“ genannten Erweiterung von OpenSSL entdeckt wurde) führte dazu, dass Angreifer Server gezielt dazu bringen konnten, verschlüsselt ausgetauschte Informationen preiszugeben. Besonders kritisch: Angreifer konnten auf diesem Wege auch den „privaten Schlüssel“ eines Servers in Erfahrung bringen, mit dessen Kenntnis Tür und Tor für das mitlesen der Kommunikation geöffnet werden. 

Viele Anbieter z.B. von E-Mail-Diensten oder Online-Shops forderten daher Ihre Kunden kurz nach Bekanntwerden  der Sicherheitslücke auf, Ihre Nutzernamen bzw. Passwörter zu ändern, da die Möglichkeit besteht, dass diese durch Dritte ausgespäht wurden.

Schon gewusst?

Dem amerikanischen Geheimdienst NSA soll die Sicherheitslücke „Heartbleed“ angeblich über fast 2 Jahre bekannt gewesen sein, ohne dass die NSA die Betreiber oder gar die Nutzer über das Problem informiert hat. Stattdessen hat die NSA Heartbleed offenbar systematisch genutzt, um an verschlüsselte Daten wie Passwörter etc. zu kommen. Mehr dazu auf spiegel-online.de.