In der Fachwelt wird zur Zeit über einen folgenschweren SSL-Bug berichtet. Um genau zu sein, es handelt sich um eine Sicherheitslücke in dem Krypto-Framework OpenSSL. Es handelt sich dabei um eine Software-Bibliothek, die von vielen Webseiten zur Verschlüsselung der Verbindung verwendet wird. Zum Beispiel fürs Online-Shopping, Online-Banking und diverse Webdienste.
Die Schwere der Sicherheitslücke deutet deren Bezeichnung an: Heartbleed (engl. Herzbluten). Die Sicherheitslücke versetzt einen Angreifer in die Lage, alle verschlüsselte Daten unverschlüsselt aus dem Speicherbereich von OpenSSL abgreifen zu können. Darunter können sich sensible Daten, wie Passwörter und geheim zu haltende private Schlüssel befinden. Erschwerend kommt hinzu, dass der Server von diesem Vorgang überhaupt nichts mitbekommt. Dass heißt, niemand weiß, ob die Sicherheitslücke bereits ausgenutzt wurde.
In dieser Konsequenz muss man davon ausgehen, dass alle Dienste und Server, die von diesem Bug betroffen gewesen oder es noch immer sind, als kompromittiert anzusehen sind, obwohl die Daten bei der Übertragung verschlüsselt waren. Das bedeutet auch, dass die Passwörter, die man bei der Anmeldung verwendet hat und immer noch verwendet, nicht mehr sicher sind. Wer eine Aufforderung zum Ändern seiner Passwörter bekommt, der sollte dem dringend nachkommen.
Es besteht dringender Handlungsbedarf diese Passwörter zu ändern. Es sind schon Fälle von Missbrauch bekannt geworden. Und es ist davon auszugehen, dass sich die Fälle gehackter Accounts in Zukunft häufen werden.
Beim Ändern der Passwörter sollte man darauf achten, dass man es auch wirklich auf der entsprechenden Webseite tut und nicht einem Betrüger mit einer Fake-Webseite auf den Leim geht. Also Achtung bei Tippfehler-Domainnamen und kuriosen Browser-Umleitungen.
