Heartbleed Bug: Ist wirklich wieder alles sicher?

Das Bundesministerium für Sicherheit in der Informationstechnik hat für Internetnutzer eine Entwarnung rausgegeben. Laut dem Ministerium sollen die meisten Internetangebote mittlerweile wieder sicher sein und über eine ausreichende Verschlüsselung verfügen. Doch offenbar ist dem nicht ganz so, wie der Dienstleister für Internetsicherheit Erratasec mitteilt. Das Unternehmen stellte am 8. Mai 2014 noch eine Anzahl von 300.000 unsicheren Internetangeboten fest. Netcraft sagte sogar, dass noch nicht einmal die Hälfte der betroffenen Internetseiten die Zertifikate ausgetauscht hätten.

Neue Zertifikate müssen von Websites generiert werden

Das Problem des Heartbleed Bug liegt darin, dass mit dem Beheben der Sicherheitslücke ein erheblicher Aufwand verbunden ist. So reicht es nicht, wenn lediglich die betroffene Software Open SSL ausgetauscht wird. Schließlich lassen sich so weiterhin die kryptografischen privaten Schlüssel problemlos über Heartbleed auslesen. Die Zertifikate der Nutzer müssen ebenso erneuert werden, da diese in den Browsern sowie auch in E-Mail Programmen gespeichert sind. Um den Heartbleed Bug also zu beseitigen muss neben der Software Open SSL auch noch das Zertifikat beim Anwender ausgetauscht und ein neuer Schlüssel generiert werden. Gleichzeitig müssen die alten Zertifikate für ungültig erklärt werden. Ansonsten droht laut dem BSI die Gefahr, dass Hacker Internetseiten nachbauen um darüber dann letztlich das Zertifikat mit dem Schlüssel der Nutzer auslesen zu können. So könnte dann das Passwort der Nutzer abgefragt oder auch Schadsoftware auf dem Computer der Betroffenen installiert werden.

Gefahr ist noch nicht komplett gebannt

Auch wenn die Zertifikate ausgetauscht werden, so ist das laut dem BSI nicht mehr als ein symbolischer Akt. Die Gefahr besteht weiterhin, dass Nutzer trotz ausgetauschtem Zertifikat Opfer sogenannter Man-in-the-Middle-Angriffen werden. Grund dafür ist, dass sie nicht darüber informiert werden, wann ein Zertifikat ausgetauscht wurde. Außerdem existiert derzeit noch kein gutes System zur Prüfung von Zertifikaten. Zwar würden die Browser die Gültigkeit überprüfen, jedoch sei diese Überprüfung weitgehend nutzlos, da bei gezielten Angriffen diese außer Kraft gesetzt werden könnte. Entsprechend ist noch kein richtiger Schutz für die Nutzer gegeben. Seitens der Seitenbetreiber muss über die Sicherheitsprobleme in jedem Fall informiert und der Nutzer zur Änderung des Passworts aufgerufen werden. Gleichzeitig ist es auch Pflicht über eventuelle Datendiebstähle die Nutzer per E-Mail zu informieren.

 

Haben Ihnen diese Infos weitergeholfen?
[Gesamt: 0 Durchschnitt: 0]

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner