Die gravierende Sicherheitslücke Heartbleed besteht bei einigen Internetdiensten auch eine Woche nach ihrem Bekanntwerden. Vor allem kleinere Websites seien weiterhin von dem Problem betroffen, in vielen Fällen seien Online-Shops und Internetseiten von Vereinen noch immer verwundbar, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Das Amt nannte keine der betroffenen Seiten direkt, teilte aber mit, es registriere großflächige Suchen nach verwundbaren Servern. Um die Sicherheitslücke zu schließen, müssen Betreiber von Webdiensten eine neue Version der Verschlüsselungssoftware OpenSSL auf ihren Servern installieren. Die war bereits kurz nach dem Bekanntwerden der Lücke zur Verfügung gestellt worden. Viele kleine Anbieter hätten dies bisher aber versäumt, sagte das BSI.

Da viele Angreifer wissen, dass noch Lücken bestehen, hätten sich diese mittlerweile gezielt auf die Suche nach verwundbaren Anbietern begeben. Besonders E-Mail-Dienste seien betroffen. Das Amt empfahl daher, Server für E-Mails, Video- und Telefonkonferenzen auf die Lücke zu überprüfen und sie gegebenenfalls zu schließen. Auch einige Router, die zur Verbindung ins Internet dienen, seien weiterhin von dem Fehler betroffen.

Das BSI wandte sich auch an die Internetnutzer und riet ihnen, sich bei den Betreibern der von ihnen genutzten Websites zu informieren. Waren diese von Heartbleed betroffen, und wurde die Software-Aktualisierung abgeschlossen, sollten sobald wie möglich die Passwörter geändert werden.

Heartbleed ist ein schwerwiegender Fehler in dem Verschlüsselungstool OpenSSL, das zum Beispiel bei E-Mail-Diensten und beim Online-Banking benutzt wird, um sensible Daten zu schützen. Die bereits rund zwei Jahre alte Sicherheitslücke erlaubt es Angreifern jedoch, den Schutz zu umgehen und somit Daten von Webservern auszulesen. Dabei kann es sich um Passwörter oder die zur Verschlüsselung benutzten Codes handeln, die eigentlich vor Ausspähung schützen sollen.