Seit einigen Tagen ist die Netzgemeinde in Aufruhr und Informatiker schlagen die Hände über dem Kopf zusammen. Warum? OpenSSL, einer der Dienste zur verschlüsselten Übertragung, hat einen fiesen Bug. Der „Heartbleed“ getaufte Bug verursacht, dass die Passwörter von Usern vieler großer Dienste wie beispielsweise Facebook verhältnismäßig einfach abgefangen werden konnten. Das ist deswegen so schlimm, weil OpenSSL eine der am weitesten verbreiteten Software ist und wir sie täglich etliche Male nutzen, ohne das explizit mitzubekommen. OpenSSL betrifft die Netzwerkkommunikation, läuft auf Servern und wir „sehen“ OpenSSL sozusagen nicht. Aber die Gefahr durch die Sicherheitslücke ist sehr wohl da, fast überall dort wo über das Internet sensible Daten wie Passwörter kommuniziert werden.
Was ist „Heartbleed“ jetzt genau?
Oben in der Einleitung habe ich schon im Kurzstil gesagt worum es geht. Genauer kann man das auf folgenden Webseiten nachlesen::
heartbleed.com – umfassend; u.a. auch woher der Name kommt
Wikipedia – sehr rudimentär
Golem – wichtige Fragen und Antworten, da wird schon vieles wissenwerte geklärt
Denjenigen die sich nicht so recht vorstellen können, was Heartbleed nun genau verursacht, lege ich mal diesen Webcomic ans Herz, der das ganze sehr einfach erklärt:
Oh nein … und jetzt?
Wir wissen also, dass unsere Passwörter seit geraumer Zeit leicht abgefangen werden konnten. In dem oben verlinkten Text von Golem steht, dass einige Systeme davon nicht betroffen sind, beispielsweise die Betriebssysteme Windows und MacOS. Abhängig vom Browser oder auch dem Betriebssystem eures Handys kann es aber natürlich trotzdem zu Vorfällen gekommen sein. Das Stopfen der Sicherheitslücke muss von Anbietern gewährleistet werden, d.h. Server die mit dieser OpenSSL Version laufen, brauchen die bereits gefixte neue Version. Für User gilt aber: wer auf Nummer sichern gehen will, sollte seine Passwörter ändern. Auch wenn ihr die Browser und Betriebssysteme nutzt, die nicht von der Sicherheitslücke betroffen sind, kann es hier oder da eine Software oder eine App geben die unsicher kommuniziert.
Gizmodo gibt euch einen Anstoß welche Passwörter ihr ändern solltet.
Ihr hört es dem vorherigen Absatz etwas an: Ich schiebe etwas weniger Panik als auf anderen Webseiten demonstriert wird, weil ich viele Systeme nutze, die von dem Bug nicht betroffen sind und leider vermute, aber um das Ändern sollte man sich an dieser Stelle trotzdem nicht drücken. Die Schwere der Sicherheitslücke ist extrem und wird nicht umsonst von vielen Quellen als „katastrophal“ beschrieben. Jetzt schon wird spekuliert, ob Abhördienste die Sicherheitslücke kannten und bewusst genutzt haben, ohne darauf hinzuweisen. Man könnte sagen, dass die Netzwelt brennt.
Das war ein ziemlicher Schock, als die Meldung umging. Habt ihr es mitbekommen und seid in Panik verfallen, oder hat euch das (bis hoffentlich jetzt 😉 ) nicht sonderlich interessiert? Konnte mein Beitrag etwas zur Aufklärung helfen?
Netzgeflüster ist eine Kategorie meines Blogs in der ich mich immer zwischen dem 10. und 15. eines jedes Monats Themen rund um IT, Forschung, Netzwelt, Internet und eben auch Gerüchten widme. 🙂
Schreibe einen Kommentar