HTTPS: Android Jelly Bean und viele bekannte Webseiten von Sicherheitsleck betroffen

Android Jelly Bean betroffen
Bild: Heartbleed.com, Google / Montage: teltarif.de Von der Lücke in der Verschlüsselungssoftware OpenSSL war in den vergangenen Tagen allerhand unter dem Namen Heartbleed-Bug zu lesen. Diese Lücke ermöglicht es potenziellen Angreifern eigentlich verschlüsselte Informationen abzufangen und auch zu entschlüsseln. Viel gravierender ist jedoch, dass es durch den Bug möglich ist, auch die privaten Schlüssel der Server abzugreifen, die normalerweise zur Verschlüsselung genutzt werden. Damit ist, sofern der jeweilige Dienst betroffen ist und das entsprechende Update noch nicht installiert hat, jede abgesicherte Kommunikation entzifferbar. Weitere Informationen finden Sie in unserem ursprünglichen Artikel zum Heartbleed-Bug.

Google sichert eigene Dienste ab, Android muss durch Hersteller geupdatet werden

Android Jelly Bean betroffen
Bild: Heartbleed.com, Google / Montage: teltarif.de Google hat einen Großteil seiner Webdienste bereits gegen den Fehler abgesichert beziehungsweise arbeitet unter Hochdruck daran. Etwas komplizierter sieht es anscheinend beim mobilen Betriebssystem Android aus. Anders als beispielsweise bei Windows Phone kann Google nicht selbst kritische Systemupdates ausliefern. Nutzer sind deshalb darauf angewiesen, dass die Hersteller Aktualisierungen bereitstellen. Ganz so schlimm ist das aber nicht, da derzeit nur Android 4.1.1 als einzige System-Version betroffen ist. Doch auch diese dürfte noch von vielen Nutzern genutzt werden. Welche Android-Version auf dem eigenen Gerät installiert ist, erfährt man in den Einstellungen unter dem Punkt "Über das Telefon" und dann unter "Android-Version".

Ein möglicher Ausweg, um nicht auf den Hersteller warten zu müssen, ist es das alternative Betriebssystem CyanogenMod zu installieren. Auch hier handelt es sich um Android, die Installation erfordert aber ein wenig technisches Wissen. Ein weiterer Vorteil: Neben der Absicherung gegenüber dem Heartbleed-Bug, erhält man auch gleich eine neuere Version von Android. Je nach Hersteller kann aber ein Garantieverlust mit der Installation einhergehen.

Automatisierter Test zeigt, dass viele Server noch immer verwundbar sind

Ein automatisierter Test, der Dienstag Nachmittag mithilfe eines Programms durchgeführt wurde, zeigt, dass 630 der 10 000 meistbesuchten Internetseiten betroffen waren. Darunter finden sich Namen wie Yahoo.com, Flickr.com, Web.de, die HypoVereinsbank, imgur.com, StackOverflow und das Partnerportal StackExchange, das Android-Entwicklerforum xda-developers.com, die Suchmaschine duckduckgo und das Eventportal Eventbrite. Keine der genannten Seiten war bei einem kurzen Test heute mehr angreifbar. Getestet werden können die Webseiten auf einer speziellen Internetseite. Eine vollständige Liste der durch das Programm getesteten Webseiten findet sich auf GitHub.

Ist der Bug eine Erklärung für die Millionen von geknackten Passwörtern?

Vor Kurzem stieß das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einen Datensatz, der 18 Millionen E-Mail-Adressen und die dazu gehörigen Passwörter enthielt. Es scheint erstaunlich, dass eine solch große Menge an Daten abgegriffen und entschlüsselt werden kann. Der Heartbleed-Bug könnte zumindest eine - von möglicherweise vielen - Erklärungen sein. Viele deutsche Betreiber haben betroffene Kunden mittlerweile informiert. Eine Einschätzung zu der Sicherheitslücke und wie wenig das BSI dagegen unternehmen kann, erfahren Sie in unserem Editorial zu der Passwortsammlung.

Wer sichergehen möchte, dass seine Daten sicher sind, der kann seine E-Mail beim BSI überprüfen lassen [Link entfernt] . Letztlich empfehlen wir, wenn auch mit etwas mehr Nachdruck als sonst, die Passwörter zu ändern. Dies gilt gerade für sensitive Dienste wie Online-Banking, E-Mail-Services und Cloud-Speicher.