Heartbleed - und nun? Apr 24, 2014 Vor gut zwei Wochen haben ein Mitglied des Google Sicherheitsteams und die Sicherheitsfirma Codenomicon den "Heartbleed Bug" gemeldet. Es handelt sich dabei um eine Schwachstelle in der weit verbreiteten OpenSSL-Bibliothek. Über diese Sicherheitslücke lassen sich Informationen, die eigentlich durch eine SSL/TLS-Verschlüsselung geschützt sein sollten, auslesen und somit stehlen. Betroffen sind damit Verschlüsselungsmechanismen, die die Authentifizierung des Benutzers beim Anbieter eigentlich absichern sollten. Der verschlüsselte Datenverkehr ist mithin unverschlüsselt. Folglich sind Namen und Passwörter der Benutzer sowie Teile des Inhalts des Servers betroffen. Potenzielle Angreifer können damit die Kommunikation belauschen, Daten direkt aus den Diensten entwenden und sich als Benutzer oder Dienste ausgeben. Betroffen sind davon weite Teile des Internets - also unter anderem Soziale Netze, E-Mail-Anbieter, Online-Shops oder auch Android-Apps.OpenSSL ist bei allen möglichen Diensten weit verbreitet und wird im Internet sehr häufig benutzt. UND NUN? Im schlimmsten Fall: Sie sollten davon ausgehen, dass alle Ihre Passwörter im Onlinebereich betroffen sind. Wenn Sie diese Passwörter jetzt weiter verwenden, besteht das Risiko, dass Dritte sich Zugang zu den damit geschützten Informationen/Webseiten/Accounts verschaffen. Daher sollten Sie ihre Kennwörter ändern. Alle! Und auch wenn einige Anbieter OpenSSL nicht verwenden: Ändern Sie auch diese Kennwörter gleich mit. Vermutlich ist die letzte Änderung sowieso schon etwas länger her. Bevor Sie ein Passwort ändern, sollten Sie aber zunächst prüfen, ob diese Internetseite noch von der Sicherheitslücke betroffen ist - ansonsten bringt eine Änderung natürlich nichts. Denke Sie an alle Passwörter, die sie nutzen: Ob bei Facebook, Google, Dropbox, Xing, anderen sozialen Netzwerken, beim Online-Banking, bei Online-Shops – und natürlich auch Ihre E-Mail-Passwörter. Als ein gutes Hilfsmittel bietet sich die movetech Kennwortkarte an. Und am besten nehmen Sie den Heartbleed Bug zum Anlass, ihre Kennwörter regelmäßig (also alle 90 Tage) zu ändern. Das beliebte „Standardpasswort“ sollte ab sofort Geschichte sein: Ein einziges Passwort zu benutzen, ist das größte Sicherheitsrisiko überhaupt. Ihr Gordon Kirstein