Netzgeflüster: Heartbleed – der Grund aus dem ihr eure Passwörter ändern solltet

Seit einigen Tagen ist die Netzgemeinde in Aufruhr und Informatiker schlagen die Hände über dem Kopf zusammen. Warum? OpenSSL, einer der Dienste zur verschlüsselten Übertragung, hat einen fiesen Bug. Der „Heartbleed“ getaufte Bug verursacht, dass die Passwörter von Usern vieler großer Dienste wie beispielsweise Facebook verhältnismäßig einfach abgefangen werden konnten. Das ist deswegen so schlimm, weil OpenSSL eine der am weitesten verbreiteten Software ist und wir sie täglich etliche Male nutzen, ohne das explizit mitzubekommen. OpenSSL betrifft die Netzwerkkommunikation, läuft auf Servern und wir „sehen“ OpenSSL sozusagen nicht. Aber die Gefahr durch die Sicherheitslücke ist sehr wohl da, fast überall dort wo über das Internet sensible Daten wie Passwörter kommuniziert werden.

Was ist „Heartbleed“ jetzt genau?

Oben in der Einleitung habe ich schon im Kurzstil gesagt worum es geht. Genauer kann man das auf folgenden Webseiten nachlesen::

heartbleed.com – umfassend; u.a. auch woher der Name kommt
Wikipedia – sehr rudimentär
Golem – wichtige Fragen und Antworten, da wird schon vieles wissenwerte geklärt

Denjenigen die sich nicht so recht vorstellen können, was Heartbleed nun genau verursacht, lege ich mal diesen Webcomic ans Herz, der das ganze sehr einfach erklärt:

Explanation by Randall Munroe via xkcd Image Source
Explanation by Randall Munroe via xkcd Image Source

Oh nein … und jetzt?

Wir wissen also, dass unsere Passwörter seit geraumer Zeit leicht abgefangen werden konnten. In dem oben verlinkten Text von Golem steht, dass einige Systeme davon nicht betroffen sind, beispielsweise die Betriebssysteme Windows und MacOS. Abhängig vom Browser oder auch dem Betriebssystem eures Handys kann es aber natürlich trotzdem zu Vorfällen gekommen sein. Das Stopfen der Sicherheitslücke muss von Anbietern gewährleistet werden, d.h. Server die mit dieser OpenSSL Version laufen, brauchen die bereits gefixte neue Version. Für User gilt aber: wer auf Nummer sichern gehen will, sollte seine Passwörter ändern. Auch wenn ihr die Browser und Betriebssysteme nutzt, die nicht von der Sicherheitslücke betroffen sind, kann es hier oder da eine Software oder eine App geben die unsicher kommuniziert.

Gizmodo gibt euch einen Anstoß welche Passwörter ihr ändern solltet.

Ihr hört es dem vorherigen Absatz etwas an: Ich schiebe etwas weniger Panik als auf anderen Webseiten demonstriert wird, weil ich viele Systeme nutze, die von dem Bug nicht betroffen sind und leider vermute, aber um das Ändern sollte man sich an dieser Stelle trotzdem nicht drücken. Die Schwere der Sicherheitslücke ist extrem und wird nicht umsonst von vielen Quellen als „katastrophal“ beschrieben. Jetzt schon wird spekuliert, ob Abhördienste die Sicherheitslücke kannten und bewusst genutzt haben, ohne darauf hinzuweisen. Man könnte sagen, dass die Netzwelt brennt.

Das war ein ziemlicher Schock, als die Meldung umging. Habt ihr es mitbekommen und seid in Panik verfallen, oder hat euch das (bis hoffentlich jetzt 😉 ) nicht sonderlich interessiert? Konnte mein Beitrag etwas zur Aufklärung helfen?

Netzgeflüster ist eine Kategorie meines Blogs in der ich mich immer zwischen dem 10. und 15. eines jedes Monats Themen rund um IT, Forschung, Netzwelt, Internet und eben auch Gerüchten widme. 🙂

10 Antworten

  1. Ja, hat geholfen, weil es verständlich erklärt war. 🙂 Vielen Dank!

    1. Das freut mich. 🙂

  2. Danke, ja, sehr guter Artikel. Och nööö! Ich will nicht 100.000 Passwörter ändern. Außerdem muss ich dann endgültig einen neuen Passwörter-Wischzettel anlegen. Seufz, heul! Werde ich dann die Tage mal in Angriff nehmen…

    1. Naja … alle meine 100.000 Passwörter ändere ich auch nicht. Nur die von Seiten, die dazu aufrufen oder bei denen (wie in dem oben verlinkten Artikel) es eine Auflistung gibt, wer auch schon seine Server umgestellt hat. Das wird wahrscheinlich bei vielen Webseiten auf immer undurchsichtig bleiben, ob man nun die PWs ändern sollte oder nicht :-/

      1. Bin noch nicht dazu gekommen, seufz. Werd mich auch an der Liste orientieren. Twitter ist ja wohl schon mal safe.

  3. Ja, ist zurzeit natürlich ein wichtiges Thema. Zu doof nur, dass sich die meisten Anbieter dazu ausschweigen und ich allerhöchstens im Business-IT-Umfeld E-Mails von den Anbietern erhalten habe, mit dem Hinweis die Passwörter zu ändern.

    Der Privatnutzer hat nun keine Ahnung, ob auf den Servern bereits die neue OpenSSL-Version läuft und wechselt das Passwort im dümmsten Fall umsonst. Echt doof!

    1. Ja, das ist sehr ärgerlich. Leider sind selbst viele große Dienste wie Twitter da nicht ganz transparent, ob sie betroffen waren | schon umgestellt haben oder eben nicht. Von vielen kleineren Webseiten wird man das wahrscheinlich nie erfahren. Am liebsten hätte ich geschrieben „Wartet ruhig noch ein bisschen mit dem Ändern der Passwörter“ aber dazu kann man eh keine wirklichen Ratschläge geben.

  4. Ich habe es vorgestern auf Fitz gehört und mich tierisch darüber geärgert, weil ich Anfang des Jahres von diesem E-Mail-Konten-Hacker-Kram betroffen war und im Zuge dessen alle erdenklichen Passwörter geändert habe und mir ne Liste anlegen musste. Ich sehe noch nicht, dass ich das jetzt (zwei Monate später!) nochmal mache. Das war ein Schweine-Aufwand… Ich bezweifle auch, dass das was nützt, weil alle drei Wochen ’ne neue Hiobsbotschaft verkündet wird. Das mit dem E-Mail-Hacking war doch diese Woche auch schon wieder.
    Heute haben sie im Radio bekannt gegeben, dass die NSA bereits seit zwei Jahren über die SSL-Lücke Bescheid weiß und sie für ihre Zwecke genutz hat. Eine Sau-Bande ist das!

    1. Du warst davon betroffen??? Oh nein!!! Hast du irgendwas bemerkt, ob dein Mail-Konto für irgendwas missbraucht wurde?
      Das ist wohl wahr, ich habe auch noch nicht alle meine Passwörter geändert. Nur die bei denen die Dienste dazu aufgerufen haben. Bevor man die ändert, sollten die Dienste ja ihre Server umgestellt haben. Sonst wars umsonst oder man macht es später nochmal. Leider werden wohl nicht alle Dienste so transparent sein und uns das wissen lassen :-/
      Sau-Bande ist das richtige Wort dafür 🙁

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert