Unsichere Verschlüsselungs-Software
Der Bund warnt: Fataler Fehler in OpenSSL
publiziert: Mittwoch, 9. Apr 2014 / 14:06 Uhr / aktualisiert: Mittwoch, 9. Apr 2014 / 17:42 Uhr
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.
Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL.

San Francisco/Bern - Wenige Tage nach einem Datenklau bei Millionen von E-Mail-Adressen ist das Vertrauen in die Internetsicherheit erneut erschüttert worden. Weltweit mussten Webdienstanbieter einen fatalen Fehler bei der weit verbreiteten Verschlüsselungs-Software OpenSSL beheben.

8 Meldungen im Zusammenhang
Die Lücke ermöglichte es, Passwörter sowie Verschlüsselungs-Codes zu stehlen. Konkret konnte ein Angreifer einen Teil des Speichers eines Servers ausspionieren, in dem sich die von Benutzern übertragenen Daten kurzzeitig befinden, erklärte die Melde- und Analysestelle Informationssicherheit (MELANI) in einem Communiqué vom Mittwoch, nachdem die Sicherheitslücke in den USA publik geworden war.

Es seien nicht nur Mailprovider oder Finanzinstitute (E-Banking, Kreditkartentransaktionen) betroffen, sondern auch andere Webportale wie Webshops oder Krankenkassenportale, die ein verschlüsseltes Login anbieten und die verwundbare Software einsetzen.

Schätzungen zufolge benutzt etwa die Hälfte aller Webseiten weltweit OpenSSL. Betroffen sind die meisten Internet-Verbindungen, die mit https:// beginnen. Es können aber auch nicht browserbasierte, verschlüsselte Dienste betroffen sein wie Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste oder VPN-Zugänge.

Verzichten oder zumindest abklären

Der stellvertretende MELANI-Leiter Max Klaus sagte zu Radio SRF, er empfehle, in den nächsten 48 Stunden auf alle Übermittlungen von sensiblen Daten im Internet - darunter E-Banking - wenn möglich zu verzichten.

Ganz so weit würde Peter Fischer, Leiter des Kompetenzzentrums Informationssicherheit der Hochschule Luzern, nicht gehen. Es reiche aus, Webdienste vor Benutzung auf der Seite http://filippo.io/Heartbleed/ abzufragen und zu prüfen, ob der gewünschte Server noch verwundbar sei.

Am Mittwochmittag waren dort etwa noch bluewin.ch und credit-suisse.com als verletzlich eingestuft. Gegen Abend wurden beide Anbieter als scheinbar sicher eingestuft. Ihnen stand eine korrigierte Version von OpenSSL zur Verfügung.

Informationssicherheits-Experte Fischer riet dennoch, alle für Online-Anmeldungen verwendeten Passwörter umgehend auszuwechseln und für die verschiedenen Dienste je ein anderes Passwort zu setzen.

Seit zwei Jahren

Die «Heartbleed» (Herzbluten) getaufte Sicherheitslücke ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde. Angreifer konnten «jegliche Kommunikation der Vergangenheit und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein», hiess es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.

Hacker konnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, ohne Spuren zu hinterlassen, erklärte der US-Internetspezialist Fox-IT.

Behörden und Sicherheitsbehörden haben Betreiber von Webservern, die OpenSSL benutzen, aufgerufen, sofort auf die neueste Version einzusetzen. Zugleich sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden.

Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, blieb unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen. Der US-Internetriese erklärte am Dienstag, das Problem sei inzwischen behoben. Entdeckt wurde das Problem laut den OpenSSL-Entwicklern von einem Mitarbeiter von Google Security.

(bg/sda)

Machen Sie auch mit! Diese news.ch - Meldung wurde von einer Leserin oder einem Leser kommentiert.
Lesen Sie hier mehr zum Thema
Potsdam - Obwohl Daten- und Identitätsdiebstähle ständig ... mehr lesen
Das beliebteste Passwort der Welt sei nach wie vor «123456».
Über eine Milliarde E-Mail-Adressen wurden gestohlen. (Symbolbild)
Washington - Das Justizministerium ... mehr lesen
Potsdam - Wird die eigene Identität im ... mehr lesen
Das Warnsystem solle die Nutzer zu mehr Achtsamkeit beim Umgang mit persönlichen Daten anregen.
Die Lücke findet sich auch in Produkten der Netzwerkausrüster Cisco und Juniper Networks.
New York/Jena - Die als «Heartbleed» bekannt gewordene Sicherheitslücke in der Verschlüsselungs-Software OpenSSL findet sich auch in Produkten der beiden grossen Netzwerkausrüster Cisco und ... mehr lesen
New York - Die US-Regierung hat ... mehr lesen 1
Die US-Regierung nutze die betroffene Verschlüsselungssoftware OpenSSL auch.
Weitere Artikel im Zusammenhang
Die NSA wusste offenbar schon lange von der Schwachstelle.
Bern - Dia US-Geheimdienst NSA hat die jüngst öffentlich gewordene Sicherheitslücke im Internet laut einem Medienbericht seit langem systematisch ausgenutzt. Die Schwachstelle in der ... mehr lesen
Bern - Internetuser dürfen sich wieder an Online-Transaktionen wagen. Die Melde- und Analysestelle Informationssicherheit des Bundes (MELANI) gibt weitgehende Entwarnung. mehr lesen 
Zürich - Fast ein Drittel der ... mehr lesen
Fast ein Drittel ist gemäss einer Umfrage bei der Eingabe persönlicher Daten im Internet unsicher. (Symbolbild)
Heartbleed
Mittlerweile haben alle Partner von «eBanking – aber sicher!» ihre Systeme aktualisiert oder waren nicht verwundbar. Gegenwärtig werden die Server-Zertifikate ausgetauscht. Dieser Prozess sollte in den nächsten ein bis drei Tagen abgeschlossen sein.

Wir empfehlen für Ihre Sicherheit:
- Alle für Online-Anmeldungen verwendeten Passwörter auswechseln (Bitte beachten Sie dabei auch unsere 6 Regeln für ein sicheres Passwort: www.ebankingabersicher.ch/securepassword).
- Vor Verwendung gesicherter Verbindungen auf der Seite http://filippo.io/Heartbleed abzufragen, ob der gewünschte Server (noch) verwundbar ist.
- Die Informationen, welche die Finanzinstitute auf ihren Webseiten publizieren, beachten.

Auf der Webseite www.ebankingabersicher.ch finden Sie weitere praxisnahe und einfach verständliche Informationen zu notwendigen Massnahmen und Verhaltensregeln, für einen sicheren Umgang im E-Banking.

«eBanking – aber sicher!»
www.ebankingabersicher.ch / www.ebas.ch
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Kryptowährungen schnell und einfach über das Smartphone kaufen.
Kryptowährungen schnell und einfach über das Smartphone kaufen.
Publinews Spätestens seit dem Bitcoin-Boom im Jahr 2017, wo der Bitcoin-Kurst ein Rekordhoch nach dem nächsten sprengte, interessieren sich nicht nur Technikbegeisterte und Internetaktivisten für Kryptowährungen. mehr lesen  
Lage in der Schweiz und International  Bern - Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte ... mehr lesen
Beim Surfen im Internet werden digitale Spuren hinterlassen, in vielen Fällen nicht zum Vorteil der User.
Einfaches Einstellen der sichereren Zweifaktor-Authentifizierung bei domains.ch.
SMS-Token zusätzlich zu deinem domains.ch Passwort  St. Gallen - Domains sind ein wertvolles immaterielles Gut. Nicht vorzustellen was passieren würde, wenn dein operativer und Umsatz bringender Online-Shop auf einmal gekapert ... mehr lesen  
Der passende Domainname fehlte  Nach einem grösseren Datenleck beim erfolglosen Social Media Projekt Google Plus zieht Google den Stecker. Die Gelegenheit scheint günstig diesen überfälligen Schritt zu vollziehen. Die ... mehr lesen
Kein Erfolg wegen fehlendem Domainnamen? Google Plus
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute So Mo
Zürich 13°C 24°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wolkig, aber kaum Regen
Basel 14°C 25°C freundlichleicht bewölkt, ueberwiegend sonnig freundlich wolkig, aber kaum Regen
St. Gallen 13°C 23°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wolkig, aber kaum Regen
Bern 14°C 23°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen freundlich
Luzern 16°C 23°C freundlichleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wolkig, aber kaum Regen
Genf 17°C 26°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig wolkig, aber kaum Regen wolkig, aber kaum Regen
Lugano 18°C 23°C freundlichleicht bewölkt, ueberwiegend sonnig wechselnd bewölkt vereinzelte Gewitter
mehr Wetter von über 8 Millionen Orten