Was ist „Heartbleed“?
Bei „Heartbleed“ handelt es sich um eine Lücke in der Implementierung von OpenSSL. OpenSSL wird von vielen Diensten und Websites genutzt um die sogenannte SSL-Verschlüsselung zu ermöglichen. Viele von Ihnen werden SSL als „https://“ beim Online-Shopping oder Internetbanking kennen. SSL sorgt in diesem Fall dafür, dass alle Daten zwischen Ihnen und dem Dienst verschlüsselt ausgetauscht werden, so z.B. Benutzernamen, Passwörter und Kreditkartendaten.
Das Tückische an Heartbleed ist, dass die Lücke erst jetzt öffentlich wurde, aber bereits seit 2 Jahren besteht. Dies bedeutet, dass auch solch sensiblen Daten wie Passwörter und Kreditkartendaten, die Sie mit einem betroffenen Dienst ausgetauscht haben, unter Umständen von Unbefugten abgegriffen werden konnten.
Wer es etwas genauer wissen möchte: Heartbleed ist möglicherweise aktiv in der OpenSSL Version 0.9.8+ bis einschließlich 1.0.1f. Heartbleed wird beim kompilieren standardmäßig eingebaut, kann aber auch beim Kompilieren deaktiviert werden. Bei aktiver OpenSSL-Lücke werden 64KB an Daten aus dem Speicher des Servers in die SSL-Antwort eingefügt. Es ist nicht vorhersagbar, welche Daten das genau sind. Im günstigen Fall „uninteressante“ Informationen. Im ungünstigen Fall die Anmeldedaten eines Nutzers, Zahlungsinformationen oder – im schlimmsten Fall – der private Schlüssel des Serverzertifikates. Es liegt also kein klassischer Man-in-the-Middle-Angriff vor, bei dem Daten ständig mitgelesen und manipuliert werden.
Da die OpenSSL-Implementierung sehr stark verbreitet ist, sind auch viele populäre Online-Dienste betroffen. Einen ersten Überblick bieten die Listen, die das Onlinemagazin Mashable sowie Giga.de veröffentlicht haben. Dort werden Websites und Online-Dienste gelistet, die von Heartbleed betroffen sind oder waren.
Das ist aber nur die „Spitze des Eisbergs“. Denn viele herkömmliche Websites nutzen OpenSSL und viele Websitebetreiber wissen nichts davon. Denn meist werden die SSL-Zertifkate vom zuständigen Provider verwaltet.
Zeit Online titelte letzte Woche: „Auf der Gruselskala bis 10 ist es die 11“. Dies sollte uns allen die Ernsthaftigkeit von Heartbleed deutlich machen und auch die Letzten überzeugen, dass Handlungsbedarf besteht.
Wann besteht Handlungsbedarf?
Akuter Handlungsbedarf besteht für folgende Fälle:
- Fall 1: Ein von Ihnen angebotener Dienst ist betroffen.
- Fall 2: Ein von Ihnen angebotener Dienst war betroffen.
- Fall 3: Ein von Ihnen genutzter Dienst ist betroffen.
- Fall 4: Ein von Ihnen genutzter Dienst war betroffen.
Wichtig: Ändern Sie Passwörter betroffener Dienste erst dann, wenn die OpenSSL-Lücke durch den Dienst behoben wurde. Ist die Lücke noch nicht beseitigt, so macht eine Passwortänderung keinen Sinn.
Ein von Ihnen angebotener Dienst ist betroffen.
Ob Ihr Dienst akut betroffen ist, kann unter folgendem Link geprüft werden:
https://filippo.io/Heartbleed/
Ist der Dienst tatsächlich noch betroffen und Sie sind selbst Anbieter, so z.B. bei Ihrer eigenen Website, so sollten Sie folgende Dinge erledigen:
- Nehmen Sie umgehend Kontakt mit Ihrem Provider auf und stimmen Sie mit diesem die kurzfristige Behebung der OpenSSL-Lücke ab.
- Wurden über Ihren Dienst auch Passwörter übermittelt, so z.B. wenn es einen Login-Bereich auf Ihrer Website gibt, so sollten Sie nach der Behebung alle Login-Nutzer über die Lücke und deren Beseitigung informieren. Fordern Sie die Nutzer unbedingt auf ihr Passwort zu ändern. Die Nutzer sollten ihr Passwort auch bei allen anderen Diensten ändern, bei denen sie das gleiche Passwort verwendet haben.
Hinweis: Im Rahmen unserer Heartbleed-Taskforce testen wir alle von uns in den vergangenen zwei Jahren umgesetzten Websites und Systeme auf die OpenSSL-Lücke. Sollte uns ein Problem auffallen, so werden wir betroffene Unternehmen darüber umgehend informieren. Da OpenSSL aber in den allermeisten Fällen nicht von uns genutzt wird, sondern vom jeweiligen Provider, können wir nur den Ist-Zustand prüfen, nicht aber, ob OpenSSL in der Vergangenheit eingesetzt wurde. Sie sollten in jedem Fall Rücksprache mit Ihrem Provider halten und sich dort ausführlich informieren. Viele Provider und Internetdienstanbieter informieren in ihren News, Foren und speziellen FAQ über das Thema.
Wichtig: Vergessen Sie nicht Ihr Content Management System (CMS).
Viele Websites bieten zwar keine Logins für Kunden oder Nutzer, sie selbst werden aber über ein Content Management System (CMS) gepflegt. In diesem Fall kann es auch dazu gekommen sein, dass die CMS-Nutzerdaten ausgelesen wurden und sich Unberechtigte Zugang zu Ihrem CMS verschaffen können. Deshalb sollten Sie – sofern Ihre Website von der OpenSSL-Lücke betroffen war und diese beseitigt wurde – unbedingt auch alle Passwörter der CMS-Nutzer ändern.
Ein von Ihnen angebotener Dienst war betroffen
Wurde die Lücke inzwischen behoben, so sollten Sie Ihre Nutzer dann über die Lücke informieren, wenn im Rahmen Ihres Dienstes auch Passworte übermittelt wurden. In diesem Fall gilt:
- Fordern Sie die Nutzer unbedingt auf ihr Passwort zu ändern. Die Nutzer sollten ihr Passwort auch bei allen anderen Diensten ändern, bei denen sie das gleiche Passwort verwendet haben.
Ein von Ihnen genutzter Dienst ist oder war betroffen
Viele populäre Online-Dienste sind betroffen. Nutzen Sie Dienste von Facebook, Google oder anderen betroffenen Diensten, so sollten Sie Ihre Passwörter bei diesen Diensten unbedingt ändern.
Auch hier gilt: Ändern Sie Ihr Passwort erst, wenn die OpenSSL-Lücke bei dem betroffenen Dienst bereits behoben wurde.
Und wenn Sie ein bei einem betroffenen Dienst verwendetes Passwort auch woanders nutzen, dann sollten Sie auch dort unbedingt neue Passwörter vergeben.
Wie sollten Sie künftig mit Ihren Accounts und Passwörtern umgehen?
- Nutzen Sie für jeden Account ein eigenes Passwort.
- Achten Sie darauf, wirklich sichere Passwörter zu verwenden.
- Nutzen Sie Passwort-Verwaltungsprogramme.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet auf der Website www.bsi-fuer-buerger.de sehr gute Tipps für sichere Passwörter.
Wichtig: Achten Sie besonders auf Ihre E-Mail-Accounts. Da ein gehackter E-Mail-Account über die Passwort-vergessen-Funktion der Schlüssel zu fast all Ihren Accounts ist, sollten Sie dieses Passwort mit besonderer Vorsicht wählen und es regelmäßig ändern.
Sicherheit bei re-lounge
Unsere eigene Website, unser Blog sowie unser Ticketsystem sind und waren (glücklicherweise) nicht von „Heartbleed“ betroffen. Auch unsere internen Systeme, wie beispielsweise unsere Firewall, sind zu jedem Zeitpunkt sicher gewesen.
Ebenso konnten wir für alle Nutzer der E-Mail-Marketing-Software Inxmail Entwarnung geben. Auch Inxmail war und ist nicht betroffen.
Aber auch re-lounge ist betroffen, denn wie so viele, so nutzen wir natürlich auch Social Media Dienste wie Facebook oder Pinterest und diverse Online-Dienste von Google, Yahoo und anderen. Insofern müssen auch wir bei den betroffenen Diensten neue Passwörter vergeben.
Ein Vorteil für uns ist übrigens, dass wir bereits seit Langem eine Passwort-Verwaltungssoftware nutzen. So besitzt jeder Dienst selbstverständlich ein individuelles Passwort. In unserer Passwort-Verwaltungssoftware werden alle Passwörter, die wir für unsere Arbeit nutzen, verschlüsselt und damit sicher gespeichert. Zudem trägt die Software zu sicheren Passwörtern bei, da sie sichere Passwörter generiert. Die sind dann zwar meist nicht zu merken, aber dafür sicher.
Was bleibt?
Neben der Notwendigkeit sicherer und separater Passwörter sollten wir noch eine Erkenntnis aus „Heartbleed“ ziehen: dass wir bewusster mit dem Thema „Verschlüsselung“ und Sicherheit umgehen. Denn oftmals werden Websites gänzlich ohne SSL-Verschlüsselung genutzt und dabei zum Teil auch Passwörter und andere Daten grundsätzlich unverschlüsselt übertragen. Damit tritt dort ständig die gleiche Situation ein, wie bei einer von Heartbleed-betroffenen SSL-verschlüsselten Website. Die Kommunikation und damit die dort verwendeten Passwörter können durch Unbefugte ausgelesen werden.
Wir sollten also künftig bewusster mit sensiblen Daten und selbst „einfachen“ Accounts umgehen. Zu unserer eigenen Sicherheit.
(Bild von Jake Setlak)