Unsichere Verschlüsselungs-Software
Der Bund warnt: Fataler Fehler in OpenSSL
publiziert: Mittwoch, 9. Apr 2014 / 14:06 Uhr / aktualisiert: Mittwoch, 9. Apr 2014 / 17:42 Uhr
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.

San Francisco/Bern - Wenige Tage nach einem Datenklau bei Millionen von E-Mail-Adressen ist das Vertrauen in die Internetsicherheit erneut erschüttert worden. Weltweit mussten Webdienstanbieter einen fatalen Fehler bei der weit verbreiteten Verschlüsselungs-Software OpenSSL beheben.

8 Meldungen im Zusammenhang
Die Lücke ermöglichte es, Passwörter sowie Verschlüsselungs-Codes zu stehlen. Konkret konnte ein Angreifer einen Teil des Speichers eines Servers ausspionieren, in dem sich die von Benutzern übertragenen Daten kurzzeitig befinden, erklärte die Melde- und Analysestelle Informationssicherheit (MELANI) in einem Communiqué vom Mittwoch, nachdem die Sicherheitslücke in den USA publik geworden war.

Es seien nicht nur Mailprovider oder Finanzinstitute (E-Banking, Kreditkartentransaktionen) betroffen, sondern auch andere Webportale wie Webshops oder Krankenkassenportale, die ein verschlüsseltes Login anbieten und die verwundbare Software einsetzen.

Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. Betroffen sind die meisten Internet-Verbindungen, die mit https:// beginnen. Es können aber auch nicht browserbasierte, verschlüsselte Dienste betroffen sein wie Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste oder VPN-Zugänge.

Verzichten oder zumindest abklären

Der stellvertretende MELANI-Leiter Max Klaus sagte zu Radio SRF, er empfehle, in den nächsten 48 Stunden auf alle Übermittlungen von sensiblen Daten im Internet - darunter E-Banking - wenn möglich zu verzichten.

Ganz so weit würde Peter Fischer, Leiter des Kompetenzzentrums Informationssicherheit der Hochschule Luzern, nicht gehen. Es reiche aus, Webdienste vor Benutzung auf der Seite http://filippo.io/Heartbleed/ abzufragen und zu prüfen, ob der gewünschte Server noch verwundbar sei.

Am Mittwochmittag waren dort etwa noch bluewin.ch und credit-suisse.com als verletzlich eingestuft. Gegen Abend wurden beide Anbieter als scheinbar sicher eingestuft. Ihnen stand eine korrigierte Version von OpenSSL zur Verfügung.

Informationssicherheits-Experte Fischer riet dennoch, alle für Online-Anmeldungen verwendeten Passwörter umgehend auszuwechseln und für die verschiedenen Dienste je ein anderes Passwort zu setzen.

Seit zwei Jahren

Die «Heartbleed» (Herzbluten) getaufte Sicherheitslücke ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde. Angreifer konnten «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein», hiess es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.

Hacker konnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, ohne Spuren zu hinterlassen, erklärte der US-Internetspezialist Fox-IT.

Behörden und Sicherheitsbehörden haben Betreiber von Webservern, die OpenSSL benutzen, aufgerufen, sofort auf die neueste Version einzusetzen. Zugleich sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden.

Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, blieb unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.

(bg/sda)

Machen Sie auch mit! Diese news.ch - Meldung wurde von einer Leserin oder einem Leser kommentiert.
Lesen Sie hier mehr zum Thema
Potsdam - Obwohl Daten- und Identitätsdiebstähle ständig ... mehr lesen
Das beliebteste Passwort der Welt sei nach wie vor «123456».
Über eine Milliarde E-Mail-Adressen wurden gestohlen. (Symbolbild)
Washington - Das Justizministerium ... mehr lesen
Potsdam - Wird die eigene Identität im ... mehr lesen
Das Warnsystem solle die Nutzer zu mehr Achtsamkeit beim Umgang mit persönlichen Daten anregen.
Die Lücke findet sich auch in Produkten der Netzwerkausrüster Cisco und Juniper Networks.
New York/Jena - Die als «Heartbleed» bekannt gewordene Sicherheitslücke in der Verschlüsselungs-Software OpenSSL findet sich auch in Produkten der beiden grossen Netzwerkausrüster Cisco und ... mehr lesen
New York - Die US-Regierung hat ... mehr lesen 1
Die US-Regierung nutze die betroffene Verschlüsselungssoftware OpenSSL auch.
Weitere Artikel im Zusammenhang
Die NSA wusste offenbar schon lange von der Schwachstelle.
Bern - Dia US-Geheimdienst NSA hat die jüngst öffentlich gewordene Sicherheitslücke im Internet laut einem Medienbericht seit langem systematisch ausgenutzt. Die Schwachstelle in der ... mehr lesen
Bern - Internetuser dürfen sich wieder an Online-Transaktionen wagen. Die Melde- und Analysestelle Informationssicherheit des Bundes (MELANI) gibt weitgehende Entwarnung. mehr lesen 
Zürich - Fast ein Drittel der ... mehr lesen
Fast ein Drittel ist gemäss einer Umfrage bei der Eingabe persönlicher Daten im Internet unsicher. (Symbolbild)
Heartbleed
Mittlerweile haben alle Partner von «eBanking – aber sicher!» ihre Systeme aktualisiert oder waren nicht verwundbar. Gegenwärtig werden die Server-Zertifikate ausgetauscht. Dieser Prozess sollte in den nächsten ein bis drei Tagen abgeschlossen sein.

Wir empfehlen für Ihre Sicherheit:
- Alle für Online-Anmeldungen verwendeten Passwörter auswechseln (Bitte beachten Sie dabei auch unsere 6 Regeln für ein sicheres Passwort: www.ebankingabersicher.ch/securepassword).
- Vor Verwendung gesicherter Verbindungen auf der Seite http://filippo.io/Heartbleed abzufragen, ob der gewünschte Server (noch) verwundbar ist.
- Die Informationen, welche die Finanzinstitute auf ihren Webseiten publizieren, beachten.

Auf der Webseite www.ebankingabersicher.ch finden Sie weitere praxisnahe und einfach verständliche Informationen zu notwendigen Massnahmen und Verhaltensregeln, für einen sicheren Umgang im E-Banking.

«eBanking – aber sicher!»
www.ebankingabersicher.ch / www.ebas.ch
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Einfaches Einstellen der sichereren Zweifaktor-Authentifizierung bei domains.ch.
Einfaches Einstellen der sichereren Zweifaktor-Authentifizierung ...
SMS-Token zusätzlich zu deinem domains.ch Passwort  St. Gallen - Domains sind ein wertvolles immaterielles Gut. Nicht vorzustellen was passieren würde, wenn dein operativer und Umsatz bringender Online-Shop auf einmal gekapert würde. Alle E-Mail Geschäftskorrespondenzen nicht mehr ankämen und Unfug mit deiner Domain getrieben würde. mehr lesen 
Der passende Domainname fehlte  Nach einem grösseren Datenleck beim erfolglosen Social Media Projekt Google Plus zieht Google den Stecker. Die Gelegenheit scheint günstig diesen überfälligen Schritt zu vollziehen. Die Übermacht von Facebook, zusammen mit Schwesterprojekten wie Instagram und WhatsApp, war zu gross und etwas entscheidendes, bisher wenig beachtetes, fehlte zudem... eine eigene Domain. mehr lesen  
Swiss Online Marketing und Swiss eBusiness Expo  Swiss Online Marketing und Swiss eBusiness Expo sind das jährliche Gipfeltreffen für Digital ... mehr lesen  
Die Besucher erwarten zwei kompakte Tage, an denen sich alles um Digital Marketing und E-Business dreht.
Durch eine App fanden Abtreibungsgegener raus, wo sich die Frauen befinden.
Geofencing machte es möglich  Boston - Abtreibungsgegner machen Frauen in US-Kliniken für Schwangerschaftsabbrüche neuerdings dank eines Location-Features der Agentur Copley Advertising direkt ausfindig und bombardieren ... mehr lesen  
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Fr Sa
Zürich -4°C 1°C Nebelfelderleicht bewölkt, ueberwiegend sonnig sonnig freundlich
Basel -4°C 3°C Nebelfelderleicht bewölkt, ueberwiegend sonnig sonnig freundlich
St. Gallen -4°C 1°C Nebelfelderleicht bewölkt, ueberwiegend sonnig sonnig freundlich
Bern -5°C 1°C Nebelfelderleicht bewölkt, ueberwiegend sonnig sonnig freundlich
Luzern -4°C 2°C Nebelfelderleicht bewölkt, ueberwiegend sonnig sonnig freundlich
Genf -1°C 5°C sonnigleicht bewölkt, ueberwiegend sonnig freundlich freundlich
Lugano 2°C 9°C sonnigleicht bewölkt, ueberwiegend sonnig freundlich freundlich
mehr Wetter von über 8 Millionen Orten