Das Internet ist ein das Zentrum unserer modernen Welt. Und Sicherheitslücken sind in diesem Netzwerk leider so normal wie Regen in London. Die neueste Lücke trägt den theatralischen Namen „Heartbleed“, doch ausnahmsweise ist dieser nicht übertrieben. Heartbleed ist der GAU des Internets und wir sagen euch warum!

 

 

In dem weltweiten Netzwerk, dass wir World Wide Web nennen, liegen die meisten Daten auf Servern. Diese Server sind im Endeffekt ganz normale Rechner, die darauf ausgelegt sind rund um die Uhr zu laufen. Von den kleinsten Blogs, über Facebook bis hin zum riesigen Videoarchiv von Youtube, alles liegt auf Servern. Diese sind nun von einem massive Sicherheitsproblem betroffen.

 

 

 

Fischen in verschlüsselten Daten.

 

 

Millionen der weltweit benutzten Server nutzen die quelloffene Software OpenSSL. Virtuell jegliche Verschlüsselung nutzt SSL. Mit Hilfe dieser Software lassen sich Datenströme effizient verschlüsseln um zu verhindern, dass Außenstehende auf die Daten auf dem Server zugreifen können. Durch die Lücke im Code, die jetzt unter dem Namen Heartbleed die Runde macht, konnten Unbefugte sich private Schlüssel zu den Servern geben lassen. Mit diesen Schlüsseln konnten sie dann unbehelligt auf den kompletten Datenverkehr des Servers zugreifen, diesen abhören und sich selbst sogar als Server ausgeben. Das Abfangen der Daten funktioniert dabei wie fischen. Wer die Lücke ausnutzt kann auf exakt 64kbit des Arbeitsspeichers zugreifen. Diese Prozedur ist allerdings in praktisch unendlich wiederholbar. Nach dem Download der Dateien können diese dann ohne Zeitdruck entschlüsselt werden.

 

 

 

 

 

Die größte Lücke des Internets existiert seit 2 Jahren
und wird noch lange existieren.

 

 

Kritisch sind gleich mehrere Probleme. Zum einen ist die Verbreitung enorm. Heartbleed hat beispielsweise Yahoo schwer getroffen. Das Unternehmen hat die Server mittlerweile zwar geflickt, aber Nutzer von Yahoo, Flickr und Tumblr haben möglicherweise massenweise an Daten verloren. Während Google, Microsoft und Apple laut eigener Aussage nicht betroffen sind werden besonders kleinere oder private Server betroffen sein. Diese Seite sagt allerdings aus, dass auch Gmail betroffen ist. Somit könnten auch die großen Unternehmen betroffen sein, ohne es zu wissen. Auch in fünf Jahren werden sich noch Server finden lassen, die diese Lücke nicht gestopft haben, weil sie nicht gewartet wurden.
Das zweite Problem ist, dass die Lücke schon seit zwei Jahren existiert. Niemand weiß, ob Hacker diese Lücke in dieser Zeit ausfindig gemacht haben und so an geheime Daten herankommen konnten. Sollte jemand beispielsweise die Lücke sehr früh gefunden haben wäre der potentielle Schade immens.
Das dritte Problem ist die Öffentlichkeit. Ein Google-Mitarbeiter hat die Lücke gestern Abend veröffentlicht. Dies ist gut und richtig, da nur so die Serverbetreiber schnell genug erfahren, dass sie unbedingt umfassende Maßnahmen ergreifen müssen. Leider wissen nun auch alle Hacker wo die Lücke ist und wie man sie ausnutzt. Wer nun nicht reagiert wird mit extrem hoher Wahrscheinlichkeit Opfer von Heartbleed.

Wer eine sichere Verbindung braucht sollte in den nächsten Tagen das Internet meiden
und in Zukunft massiv für OpenSSL spenden. 

 

 

Die Behebung der Lücke ist zudem sehr aufwendig und auch teuer. So muss nicht nur eine neue Version von OpenSSL auf allen Servern installiert werden, sondern es müssen auch alle Zertifikate restlos ausgetauscht werden, da sonst Hacker, die einmal zugriff auf den Server hatten sich auch in Zukunft als Server ausgeben könnten.
Die Macher des sicheren Tor-Browser raten sogar dazu in den nächsten Tagen das Internet absolut zu meiden, bis Unternehmen die Zeit hatten auf die Lücke zu reagieren.
Aktuell kann man diese Seite nutzen um punktuell zu testen welche Seiten und Services sicher sind. Leider produziert die Seite anscheinend auch Fehler und sollte daher mit Vorsicht zu genießen sein. Besser ist es einen SSL-Tracker zu nutzen. Hier kann man die Zertifikate der sicheren Verbindung auf ihr Ausstelldatum überprüfen. Sollte dieses älter als 24-Stunden sein (Stand: 09.04.2014), ist es nicht sicher.
Eine sehr hilfreiche Maßnahme wäre zudem eine Spende an die gemeinnützige Organisation, die hinter OpenSSL steht. In Relation zur Wichtigkeit dieses Standards für das gesamte Internet und damit jeden einzelnen ist diese Organisation gnadenlos unterfinanziert. Hätte man dort mehr Geld zur Verfügung gehabt wäre Heartbleed mit hoher Wahrscheinlichkeit sehr viel früher aufgefallen.

 

 

 

Der absolute Super-GAU.

 

Was kann man also aus der ganzen Sache mitnehmen. Wer in den nächsten Tagen auf eine sichere Datenverbindung, beispielsweise bei Bankgeschäften, angewiesen ist, sollte das Internet nicht nutzen. Wir können es nicht häufig genug sagen. Sensible Daten sollten in keinem Fall übertragen werden. Gleichzeitig wird kann diese Lücke bereits jetzt schon immensen Schaden angerichtet haben und wird mit Sicherheit die ganze Struktur des Internets verändern.
Gerade bei vielen kleinen Serverbetreibern wird diese Lücke auch noch in absehbarer Zeit bestehen und jeder halbwegs Interessierte kann sie ausnutzen. Heartbleed kann nicht einfach behoben werden und wird IT-lern noch für Jahre beschäftigen.
Wer also ein sicheres Netz will sollte die Organisationen durch Spenden finanzieren, die unser Internet möglich machen. Den Link dazu haben wir nochmals unter den Text gegeben.

 

 

Update 1:
Das Tor-Projekt hat bekannt gegeben, dass die neuste Version des Tor-Browsers nun bereits teilweise wieder sicher ist. Trotzdem sollten Leute, die auf Sicherheit angewiesen sind, sich nicht auf auf dieses Teilupdate verlassen.

 Spenden für OpenSSL