{"id":2949,"date":"2014-04-10T08:26:05","date_gmt":"2014-04-10T08:26:05","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=2949"},"modified":"2020-02-26T18:43:08","modified_gmt":"2020-02-26T16:43:08","slug":"heartbleed-howto","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/heartbleed-howto\/2949\/","title":{"rendered":"Die Heartbleed-Sicherheitsl\u00fccke k\u00f6nnte Ihre Sicherheit auf Tausenden Webseiten bedrohen"},"content":{"rendered":"

UPDATE<\/strong>: In einer fr\u00fcheren Version dieses Artikels wurde \u2013 basierend auf einer Liste von Github \u2013 geschrieben, dass Anwender einer Seite namens HideMyAss von Heartbleed betroffen seien. Ein Sprecher der Seite sagte uns, dass deren Anwender nicht betroffen sind und wir haben daraufhin die Seite von der Liste gel\u00f6scht.<\/em><\/p>\n

UPDATE #2<\/strong>: Der Artikel wurde mit einer Liste der betroffenen Seiten<\/a> aktualisiert, die ihren Anwendern offiziell empfehlen, das Passwort zu \u00e4ndern.<\/em><\/p>\n

Man merkt schnell, dass eine Sicherheitsl\u00fccke sehr ernst ist, wenn in allen Medien dar\u00fcber berichtet wird. So verh\u00e4lt es sich auch mit einem Fehler bei der Verschl\u00fcsselung in OpenSSL, die den Namen Heartbleed bekommen hat. OpenSSL ist die wohl am weitseten verbreitete Verschl\u00fcsselungs-Library im Internet. Wenn das alles recht verwirrend klingt, keine Angst \u2013 ich werde das Ganze im folgenden Artikel erkl\u00e4ren.<\/p>\n

Wenn Sie mit einer Webseite \u2013 egal, ob Google, Facebook oder ihrem Online-Banking \u2013 eine verschl\u00fcsselte Verbindung<\/a> aufbauen, werden die \u00fcbertragenen Daten mit dem SSL\/TLS-Protokoll verschl\u00fcsselt. Viele beliebte Web-Server nutzen daf\u00fcr die Open-Source-Library OpenSSL. Schon Anfang der Woche haben die OpenSSL-Entwickler einen Patch f\u00fcr einen gef\u00e4hrlichen Fehler ver\u00f6ffentlicht<\/a>, der in der Implementierung der TLS-Funktion namens \u201eHeartbeat\u201c zu finden war, und der bis zu 64 kByte des Server-Speichers f\u00fcr Angreifer freigeben kann.<\/p>\n

Mit anderen Worten, k\u00f6nnte der Fehler jedem im Internet erm\u00f6glichen, den Speicher eines Computers auszulesen, der durch eine fehleranf\u00e4llige Version der Library gesch\u00fctzt wird. Im schlimmsten Fall k\u00f6nnte dieser kleine Block aus dem Speicher vertrauliche Daten enthalten \u2013 Nutzernamen, Passw\u00f6rter oder sogar private Schl\u00fcssel, die vom Server genutzt werden, um die Verbindung verschl\u00fcsselt zu halten. Zudem hinterl\u00e4sst das Ausnutzen der Heartbleed-L\u00fccke keine Spuren, so dass man nicht sicher sagen kann, ob ein Server gehackt wurde und welche Daten gestohlen worden sind.<\/p>\n

Doch es gibt auch eine gute Nachricht: Der Fehler in OpenSSL wurde bereits ausgebessert. Die schlechte Nachricht ist allerdings, dass man nicht sicher sein kann, dass die Webseiten und Services, die von Heartbleed betroffen sind, den entsprechenden Patch implementieren. Und noch mehr schlechte Nachrichten: Der Fehler ist sehr einfach auszunutzen und k\u00f6nnte sogar schon seit zwei Jahren existieren. Das bedeutet, dass Sicherheitszertifikate vieler beliebter Webseiten gestohlen worden sein k\u00f6nnten, genau wie vertrauliche Nutzerdaten inklusive Passw\u00f6rter.<\/p>\n

Ma\u00dfnahmenkatalog f\u00fcr Anwender<\/h2>\n

Update: <\/b>Mashable hat eine Liste<\/a> offizieller PR-Aussagen von betroffenen Seiten ver\u00f6ffentlicht. Um Ihnen Zeit zu sparen, k\u00f6nnen Sie einfach Ihr Passwort auf den folgenden Seiten<\/strong> \u00e4ndern: Facebook, Instagram, Pinterest, Tumblr, Yahoo, AWS, Box, Dropbox, Github, IFFT, Minecraft, OKCupid, SoundCloud, Wunderlist. Denken Sie daran, auf jeder Seite ein einzigartiges Passwort<\/strong> zu verwenden!<\/p>\n