Die massive Sicherheitslücke in der Verschlüsselungstechnologie OpenSSL betrifft einen Großteil der Server im Netz, aber auch private Internetnutzer. Die OpenSSL-Software wird üblicherweise für verschlüsselte Verbindungen genutzt – durch den Fehler namens Heartbleed könnten nun private Daten preisgegeben worden sein. 

Bisher war es schwer nachzuvollziehen, welche Unternehmen und Webseiten mit OpenSSL arbeiten und demnach mit Sicherheitsproblemen im Datenaustausch zu tun haben. Die Website Mashable hat nun eine Liste veröffentlicht. Einige Internetfirmen haben ihre Server bereits auf den neuesten Stand gebracht und die Sicherheitslücke geschlossen. Die Passwörter der betroffenen Webseiten sollten laut Mashable nun umgehend geändert werden. Zwar sei das keine Garantie, dass private Informationen nicht bereits gefährdet sind, heißt es auf der Seite. Der Heartbleed-Bug bestand schließlich seit etwa zwei Jahren. Doch gebe es kein Anzeichen dafür, dass Hacker seit Längerem von der Sicherheitslücke wüssten.

Unter den Sozialen Netzwerken sind demnach Facebook und Tumblr betroffen. LinkedIn nutzt die SSL-Technologie nach eigenen Angaben nicht. Ob Twitter betroffen ist, ist noch unklar. Das Unternehmen hat sich auf Nachfragen noch nicht geäußert.

Kunden, die bei GMail und Yahoo E-Mails versenden, sollten ebenfalls ihre Passwörter ändern. AOL und Hotmail nutzen nach eigenen Angaben keine OpenSSL-Technologie.

Passwörter sollten unter anderem auch für folgende Webseiten geändert werden. Google und Yahoo, Dropbox und Soundcloud. Nicht betroffen sind laut Mashable Amazon und Microsoft. Von Apple gab es bislang noch kein Rückmeldung auf Anfragen. Eine vollständige Liste finden Sie hier.

Nach Angaben der Deutschen Kreditwirtschaft, die für die Banken in Deutschland zuständig ist, stellt die Sicherheitslücke "ein branchenübergreifendes theoretisches Angriffsszenario dar". Eine Liste der Banken, die von Heartbleed betroffen sind, gibt es aber nicht.

Die Deutsche Kreditwirtschaft nehme die Hinweise sehr ernst und habe ihre Systeme sofort überprüft. Dort, wo die Sicherheitslücke für die Institute eventuell relevant sei, seien "alle notwendigen Schritte zur Behebung" eingeleitet worden."

Update: Dass deutsche Banken betroffen sind, ist aber klar. Die Deutsche Kreditbank Berlin etwa schrieb einem Kunden auf Nachfrage: "Die sofort eingeleitete Prüfung ergab, dass auch wir in einigen Teilbereichen die betroffene Version von OpenSSL für die SSL-Verschlüsselung im Einsatz haben. Wir konnten noch am gleichen Abend die kritische Lücke schließen und damit die Angriffsfläche für mögliche Angriffe und Trittbrettfahrer eliminieren. Dadurch sind Sie wieder wirksam vor Angriffen gegen Ihr Internet-Banking
geschützt. Als zusätzliche Maßnahme werden wir heute noch die genutzten Sicherheitszertifikate austauschen."