Handlungsleitfaden zur Heartbleed-Schwachstelle

Was Privatpersonen über Heartbleed wissen müssen – und wie Sie jetzt reagieren sollten
Kommentare

Was die Heartbleed-Schwachstelle ist und welche Folgen sie haben kann, haben wir im Artikel „Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?“ ausführlich beschrieben. Aber was bedeutet das für Privatpersonen?

Heartbleed gefährdet Ihre Daten

Erst mal betrifft die Heartbleed-Schwachstelle Server – und zwar nicht nur Webserver, sondern auch Mailserver, VPN-Server und dergleichen mehr. Aber bleiben wir beim Webserver als bekanntestes Beispiel, das Sie auch am meisten betrifft.

Immer, wenn Sie einen HTTPS-Link aufrufen, werden die Daten mit dem Protokoll SSL oder dessen Nachfolger TLS verschlüsselt. Nehmen wir mal an, der Server, den sie gerade besuchen, wird über Heartbleed angegriffen. Dann kann zum Beispiel Folgendes passieren:

  • Der Angreifer hat den privaten Schlüssel des Servers ausgespäht. Dann kann er sich gegenüber Ihrem Browser als dieser Server ausgeben. Und der Browser würde das akzeptieren und das Icon für eine sichere Verbindung anzeigen. Dass der private Schlüssel ausgespäht werden kann, wurde bereits mehrfach bewiesen.
  • Der Angriff erfolgt, nachdem Sie sich beim Server eingeloggt haben. Dann könnte der Angreifer Ihren Benutzernamen und Ihr Passwort ausspähen. Das wurde bereits am Beispiel von Yahoo! Mail demonstriert. Mit den Zugangsdaten kann sich der Angreifer dann in Ihrem Namen beim Server anmelden.
  • Der Angriff erfolgt, nachdem Sie sich beim Server eingeloggt haben, und der Angreifer späht dabei den sogenannten Session-Cookie aus. Den verwendet der Server, um Sie während einer laufenden Sitzung zu erkennen. Ihr Browser sendet den Cookie dazu bei jeder Verbindung mit. Gelangt ein Angreifer an so einen Session-Cookie, kann er darüber auf ihre laufende Sitzung zugreifen und Aktionen ausführen, bis Sie sich ausloggen. Dieser Angriff wurde bereits am Beispiel von Flickr demonstriert.

Der Angreifer kann aber nicht gezielt vorgehen und zum Beispiel genau Ihre Zugangsdaten ausspähen. Er muss nehmen, was der Server ihm schickt. Er kann den Angriff aber beliebig oft wiederholen und damit die Wahrscheinlichkeit steigern, für sich brauchbare Daten zu erhalten.

Da das Problem auf dem Server existiert, muss es auch dort behoben werden. Die Serverbetreiber müssen die betroffene OpenSSL-Version gegen eine aktuelle austauschen, um die Schwachstelle zu beheben. Da man nicht feststellen kann, ob es einen Angriff gab, sollte danach das SSL-Zertifikat des Servers ersetzt werden.

Ändern Sie die Passwörter für betroffene Server

Nachdem das Zertifikat ersetzt wurde, können Sie wieder sicher sein, dass sie sich mit dem richtigen Server verbinden. Erst dann sollten Sie sicherheitshalber ihr Passwort ändern. Prinzipiell sollte das natürlich bei allen betroffenen Servern geschehen, es spricht aber nichts dagegen, das gestaffelt zu tun: Zuerst werden die Passwörter für die Websites erneuert, bei denen ein Angreifer wirklich Schaden anrichten kann. Also zum Beispiel für Webshops, wo Konto- oder Kreditkartendaten ausgespäht oder gefälschte Bestellungen aufgegeben werden können. Danach folgen Mailserver und Social Networks. Weniger gefährdete Websites wie zum Beispiel Foren können warten.

Folgen Sie keinesfalls Links in hilfreichen Mails, in denen Sie zur Änderung des Passworts aufgefordert werden – es gab bereits erste Phishing-Mails mit der Heartbleed-Schwachstelle als Köder! Verantwortungsbewusste Server-Betreiber werden auf entsprechende Links in ihren Info-Mails verzichten, alle anderen sollten Sie ignorieren – rufen Sie die Website immer direkt auf.

Ob eine Website betroffen war, können Sie zum Beispiel mit dem Heartbleed Checker von LastPass, dem Heartbleed Test von SSL Tools oder dem SSL Server Test von Qualys prüfen. Es gibt auch einige Übersichtsseiten im Web. Am besten wissen die Website-Betreiber aber selbst, ob ihr Server betroffen war und ob eine Änderung der Passwörter sicher möglich ist. Sie sollten ihre Benutzer also entsprechend auf ihrer Website informieren. Achten Sie also auf entsprechende Hinweise.

Heartbleed gefährdet Ihren Rechner und Ihr Smartphone – etwas und theoretisch

Wie auch im Hintergrund-Text beschrieben, kann die Schwachstelle auch Rechner und Smartphones betreffen. Hier gilt es, auf Update-Ankündigungen der Hersteller zu achten. Bei den Smartphones sind besonders Geräte mit Android 4.1.1 gefährdet, da dort das System selbst betroffen ist. Google hat die Smartphone-Hersteller bereits mit Hinweisen zum Beheben der Schwachstelle versorgt.

Im Grunde sind Heartbleed-Angriffe auf Clients aber ziemlich unwahrscheinlich. Die Angreifer müssten dafür ihre Opfer dazu bewegen, mit einem betroffenen Programm einen bösartigen Server aufzurufen. Da über die Heartbleed-Lücke im Vergleich zu eingeschleuster Spyware nur wenig ausgespäht werden kann, werden die Cyberkriminellen sehr wahrscheinlich bei ihrer bewährten Schadsoftware bleiben.

Und dann gibt es ja noch das „Internet der Dinge“…

Prinzipiell können auch Geräte des „Internet der Dinge“, also alle Geräte mit Netzwerkanschluss, betroffen sein. Achten Sie also auf Firmware-Updates für Ihren Router, Multimedia-Server, Fernseher, Spielekonsolen, … .

Akut gefährdet könnten allenfalls Router sein, sofern sie eine betroffene OpenSSL-Version nutzen und die Fernwartung aktiviert ist. Denn diese wird im Allgemeinen über SSL/TLS abgesichert. Wenn möglich, sollten Sie die Fernwartung bei betroffenen Geräte ausschalten. Ob Ihr Router gefährdet ist, können Sie zum Beispiel hier testen – Sie müssen nur ihre öffentliche IP-Adresse eingeben.

Die Heartbleed-Katastrophe Teil 1: Wie funktioniert der Angriff und was kann passieren? Teil 2: Was Unternehmen über Heartbleed wissen müssen – und wie Sie jetzt reagieren sollten Teil 3: Was Privatpersonen über Heartbleed wissen müssen – und wie sie jetzt reagieren sollten

Aufmacherbild: Heartbleed bug von shutterstock.com / Urheberrecht: wwwebmeister

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -