Zu Demaart
Die weit verbreitete Verschlüsselungs-Software OpenSSL, die Online-Kommunikation eigentlich schützen soll, weist eine schwerwiegende Sicherheitslücke auf, so CIRCL Luxemburg. Die Schwachstelle ermöglicht es Angreifern, Informationen auszulesen und Kommunikation abzugreifen. Dazu zählen auch die technischen Schlüssel von Nutzern, die deren Kommunikation eigentlich absichern sollen. SSL wird benutzt, um Informationen auf dem Weg durchs Web zu schützen, etwa Passwörter oder die Inhalte von E-Mails. Auch Online-Banking ist betroffen.
CIRCL Luxemburg (Computer Incident Response Center Luxembourg) ist eine staatliche Organisation, die die Sicherheit im Netz überprüft. Auf Nachfrage von Tageblatt.lu, bestätigte uns CIRCL, dass es sich um eine gravierende Sicherheitslücke handelt. Das Einsehen von Verschlüsselungsdaten kann verheerende Folgen haben. «Wir sind im Kontakt mit der Bankenvereinigung ABBL, damit die Finanzinstitute die SSL-Sicherheitslücke beheben», so ein CIRCL-Sprecher. «Die Luxemburger Banken müssen gegebenenfalls die Schlüssel mitsamt der zugehörigen Zertifikaten austauschen, um einem möglichen Datenklau vorzubeugen.»
«Kritisch»
Der Fehler wurde am späten Montagabend öffentlich gemacht und von seinen Entdeckern «Heartbleed» genannt, weil er Informationen «ausblutet». Sicherheitsexperten von Google und Codenomicon entdeckten den Bug. Die Schwachstelle «erlaubt es Angreifern, Kommunikation zu belauschen, Daten direkt von Diensten und Nutzern zu stehlen, und sich selbst als Dienste oder Nutzer auszugeben», schrieben die Entdecker. CIRCL Luxemburg, stuft die Schwachstelle als kritisch ein.
Webserver, E-Mail-Dienste, Chatprogramme oder VPN-Anbieter nutzen SSL-Verschlüsselung. OpenSSL ist einer der am meisten genutzten Bausteine. Auch der US-Geheimdienst NSA hat laut Medienberichten Verschlüsselungstechniken im Visier. Dabei wurde auch SSL genannt.
Geheim
Der Fehler setzt am Anfang einer Verbindung mit einem Webdienst an. Dann tauschen Server und Nutzer Informationen aus, die festlegen, wie die restliche Kommunikation verschlüsselt wird. Wer die Schwachstelle ausnutzt, kann einen Webserver dazu bringen, mehr Informationen preiszugeben als eigentlich vorgesehen. Dazu zählt auch eben jener private Schlüssel eines Nutzers, der eigentlich ganz dringend geheim gehalten werden muss. Jemand, der diesen Schlüssel hat, kann die gesamte Kommunikation entschlüsseln, die zum Server übertragen wird. So könne ein Angreifer beispielsweise Passwörter stehlen.
OpenSSL stellte bereits in der Nacht zu Dienstag eine neue Version zur Verfügung, die die Schwachstelle schließen soll. OpenSSL ist quelloffen, das heißt, der Programmcode ist öffentlich und kann von jedem eingesehen und weiterentwickelt werden.
Sie müssen angemeldet sein um kommentieren zu können