Heartbleed - Sicherheitslücke in SSL-Verschlüsselung
10.04.2014/koma
Die aktuelle Lücke in der Verschlüsselungsbibliothek OpenSSL betrifft unzählige Internetnutzer. Betroffen von Heartbleed ist ein grosser Teil des Internets: DirectNet der CS (Credit Suisse), die Online-Banking-Seiten verschiedener Kantonalbanken, Yahoo, Twitter etc. – alle sitzen im selben Boot. Die meisten Server wurden in den letzten Tagen aufgerüstet – trotzdem kann niemand sagen, wo welche Daten abgezweigt worden sind.
Bund publiziert Empfehlungen zum OpenSSL-Problem
Die Melde- und Analysestelle Informationssicherung des Bundes hat nun Empfehlungen zum Umgang mit dem Bug publiziert.
Für die Endbenutzer ist es gemäss Melani sehr schwierig sich zu schützen. Deshalb sollte auf heikle Transaktionen verzichtet werden bis die jeweiligen Dienstleister die Lücke beseitigt haben.
Es sei unbekannt, seit wann die Lücke ausgenutzt werde. Sicherlich gut wäre es aber laut Melani, alle Passwörter zu ändern, die für kompromittierte Dienste verwendet worden sind. Ausserdem sollten allfällige Sicherheitsaktualisierungen auf Heimgeräten wie NAS, Speicher und Router eingespielt werden.
Was ist zu tun?
Sie als Nutzer sind also auch betroffen. Ändern Sie die Passwörter aller relevanten Dienste in den nächsten Tagen.
- Mailkonten
- Benutzerkonten für Webapplikationen
- Zugangskonten zu Controlpanels
- e-Banking
- Social Media Plattformen
Verwenden Sie als neues Passwort sichere, komplexe Zeichenkombinationen.
Ist meinen Webseite auch betroffen?
JA. Falls sich Angreifer Zugang zu sensiblen Daten verschafft haben können Passwörter wie Logindaten, Zugangsdaten zu Datenbanken oder ftp-Passwörter entwendet worden sein.
Zur Sicherheit sollten also in allen aktiven Webapplikationen die Zugangsdaten geändert werden. Sofern Kunden über ein Unterhaltsabos der PageWerkstatt verfügen werden die Arbeiten kostenlos ausgeführt. Alle anderen Kunden werden von uns informiert...
Empfehlung von Anbietern
Wo Sie Ihre Passwörter ändern müssen – und wo nicht.
| Anbieter | Betroffen? | Passwort ändern? | Info |
|---|---|---|---|
| Hostpoint | Ja | Ja | |
| Webland | Ja | Ja |
"Die Systeme der Webland AG waren zu keinem Zeitpunkt gefährdet. Sämtliche Webland Kunden sind und waren von dieser Sicherheitslücke somit nicht betroffen. |
| Green | Ja | Ja | |
| Novatrend | Unklar | Ja | Keine Hinweise auf novatrend.ch |
| Swisscom | Nein | Nein | |
| Cablecom | Ja | Ja | |
| GMX | Nein | Nein | |
| Sunrise | Nein | Nein | |
| Gmail | Ja | Ja | |
| Hotmail / Outlook | Nein | Nein | |
| Yahoo Mail | Ja | Ja | |
| Unklar | Ja | ||
| Nein | Nein | ||
| Unklar | Ja | ||
| Dropbox | Ja | Ja | |
| Amazon | Nein | Nein | |
| Ja | Ja | Nach Aussgae von Google müssen Nutzer ihre Passwörter nicht ändern. | |
| Microsoft | Nein | Nein | |
| Yahoo | Ja | Ja | |
| Apple | Unklar | Ja | |
| Securesafe | Nein | Nein |