Die weit verbreitete Verschlüsselungsmethode OpenSSL zeigt eine gravierende Sicherheitslücke überall dort auf, wo die Verschlüsselungsmethode SSL/TLS mit Hilfe dieser Software zum Einsatz kommt. Das kann eine Webseite, ein E-Mail-Anbieter, ein Chatprogramm oder ein privates Netzwerk (genannt VPN) sein. Bei Übertragung von sensiblen Daten, wie zum Beispiel Login und Passwort, wird nämlich eine Verschlüsselung eingesetzt.
Viele Internetseiten sind betroffen
Das Schlimme jedoch ist, dass niemand genau sagen kann, ob und welche Daten so entwendet worden sind. Unter den 100 meist besuchten Webseiten war ein Großteil noch anfällig für diese Sicherheitslücke, darunter der Fotodienst "Flickr", die Webseite der virtuellen Währung "Bitcoin" oder "Yahoo".
Behebung der Sicherheitsmängel
Jetzt sind zuerst einmal die Betreiber der Webseiten und sonstige Anbieter gefragt. Wer aufmerksam ist, wird die Lücke mit einem Update schließen. Außerdem ist es notwendig, alle privaten Schlüssel und Zertifikate zu erneuern.
Bevor eine Webseite oder einen Dienst genutzt wird, sollte sicher gestellt werden, dass der Patch eingespielt worden ist. Dies kann man herausfinden, indem man einen Test durchführt. Eine solche Seite hat zum Beispiel der italienische Programmierer Filippo Valsorda aufgebaut. Mittlerweile hat auch Yahoo seine Seite abgesichert.
Liste der vermutlich betroffenen Dienstleister
possible.lv/tools/hb
filippo.io/Heartbleed
heartbleed-bug-websites-affected
Danny Loos, Föderale Kriminalpolizei Eupen