OpenSSL: Schwerwiegende Sicherheitslücke gefährdet Zugangsdaten
In der Bibliothek OpenSSL lauert die Sicherheitslücke Heartbleed.
Bild: dpa
Eine Schwachstelle in der weit verbreiteten
Verschlüsselungs-Software OpenSSL ermöglicht es Angreifern,
eigentlich geschützte Informationen auszulesen und Kommunikation
abzugreifen. Der Fehler wurde am späten Montagabend öffentlich
gemacht und von seinen Entdeckern Heartbleed genannt. Die
Schwachstelle "erlaubt es Angreifern, Kommunikation zu belauschen,
Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als
Dienste oder Nutzer auszugeben", schrieben die Entdecker.
Schwachstelle ist ein Implementierungsproblem
In der Bibliothek OpenSSL lauert die Sicherheitslücke Heartbleed.
Bild: dpa
Besonders schwerwiegend: Die Schwachstelle erlaubt es Angreifern,
die privaten Schlüssel auszulesen, mit denen Informationen geschützt
werden. "Das sind die Kronjuwelen", warnen die Sicherheitsexperten
von Google und Codenomicon, die den Bug entdeckten. Wer sie habe,
könne eigentlich verschlüsselte Informationen entziffern - auch Zugangsdaten von Nutzern können Angreifer abgreifen. Ein Angriff über die gefundene Schwachstelle hinterlasse keine Spuren.
Betroffen ist der aktuell verbreitete Versionszweig OpenSSL 1.0.1 - lediglich die heute früh erschienene Version 1.0.1g ist nicht mehr anfällig. Betreiber von Webservern müssen wohl handeln und OpenSSL aktualisieren. Laut den Angaben auf heartbleed.com sind auch private Schlüssel und Session-Keys als kompromittiert anzusehen. Sogar Server-Zertifikate können betroffen sein. Informationen für Administratoren haben die Entdecker auf einer Webseite zusammengestellt. Derzeit ist nach Angaben der Entdecker nicht bekannt, ob die Schwachstelle aktiv von Angreifern ausgenutzt wird. Die Schwachstelle sei ein Implementierungsproblem.
Kurioserweise steckt der Fehler in einer Funktion, die sehr sichere, aber nicht von allen Clients unterstütze Verschlüsselungsmethoden anbietet. Webdienste, die auf konservative Methoden setzen, sind oft gar nicht betroffen. Für Nutzer ist die größte Gefahr, dass Daten auf den Servern der Anbieter nicht mehr sicher sind. Diese Gefahrenquelle können aber nur die Betreiber selbst einschätzen.
OpenSSL sei einer der am meisten genutzten SSL-Bausteine oder "Bibliotheken", sagte Falk Garbsch vom Chaos Computer Club der dpa. OpenSSL stellte bereits in der Nacht zu heute eine neue Version zur Verfügung, die die Schwachstelle schließt. "Wer einen Webserver oder einen E-Mail-Server betreibt, sollte zeitnah dieses Update durchführen", sagte Garbsch.