Heartbleed Bug

Beim Heartbleed-Bug handelt es sich um einen schwerwiegenden Fehler in der Programmierung einer Open-Source-Lib OpenSSL.

Welche Folgen hat dieser Bug?

Auch über eine verschlüsselte Verbindung konnte der Datenverkehr zwischen Clients und Servern mitgelesen werden. Die Version 1.0.1g vom 7. April 2014 behebt diesen Fehler.

Was wird von diesem Bug betroffen?

Viele Webseiten sowie auch VoIP-Telefonate, Router, Netzwerk-basierte Drucke und dergleichen mehr nutzen OpenSSL zur Verschlüsselung von Verbindungen. So wurde beispielsweise auch Google Anrdoid 4.1.1 zum Zeitpunkt des Bekanntwerdens der Lücke betroffen. 

Welche Folgen kann diese Lücke für Sie gehabt haben oder noch haben?

Ist diese Verbindung über Jahre ungesichert gewesen, so könnten nicht nur die Inhalte selbst ggf. mitgelesen worden sein während dieser Verbindung sondern auch die Zugangsdaten selbst.

Es kann also auch lange nach dem Versand verschlüsselter Daten mit dem abgegriffenen privaten Schlüsseln dieser OpenSSL Verbindung dieser Datenverkehr entschlüsselt werden, sofern das Serverzertifikat noch nicht abgelaufen ist oder widerrufen wurde.

Email-Verkehr kann hierbei betroffen worden sein, wenn OpenSSL genutzt wurde.

  • Der SSH Zugang zu Servern, wie Administratoren diesen zum Zugriff auf Linux der Webserver (Webseiten-Hosting) nutzen, sei hiervon nicht betroffen, da SSH TLS nicht einsetzt.

Wie das Problem gelöst wird

Emails: Es wird grundsätzlich empfohlen, alle Email-Kennworte aller Email-Adressen zu ändern. Grund: Es kann einfach nicht ausgeschlossen werden, dass Sie irgendwann einmal Emails über eine Verbindung mit OpenSSL Verschlüsselung aufgerufen haben, dh. diese Verbindung kann erfasst und hierbei die Zugangsdaten geklauten worden sein.

Eigene und besuchte Webseiten: Wenn eine verschlüsselte Verbindung zu Webservern oder webbasierten Softwarelösungen genutzt wurde, so wird empfohlen, auch diese Zugangsdaten zu ändern. Dieses beinhaltet den Zugang zu Webhoster, Telefonanbietern, Webshops und dergleichen mehr.

Smartphones, Handies etc.: Nicht nur Betriebssysteme oder Software von PCs nutzen OpenSSL zur Verschlüsselung zuweilen sondern auch Smartphones; deshalb wird empfohlen, Software mit Internetzugang oder schon die Betriebsssysteme dieser Endgeräte zu aktualisieren.