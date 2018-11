Einen Monat nach Bekanntwerden der Sicherheitslücke Heartbleed hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung gegeben. Laut BSI haben die wichtigsten Websites inzwischen reagiert und die Sicherheitslücke, die durch einen Fehler in der Verschlüsselungs-Software OpenSSL entstand, behoben.

So optimistisch zeigen sich allerdings nicht alle Experten: Laut Erratasec, einem Dienstleister für Internetsicherheit, sind weltweit immer noch mehr als 300.000 Webseiten unsicher. Auch nach Angaben von Netcraft haben noch nicht einmal die Hälfte der betroffenen Websites neue Zertifikate. Sie wären damit immer noch anfällig für einen Angriff, in dem ein Angreifer alles mitlesen kann, was über eine vermeintlich sichere Verbindung geschickt wird, also zum Beispiel Passwörter für das Onlinebanking.

Das Problem: Der Fehler in der Kryptografiesoftware OpenSSL war zwar schnell behoben, doch es reicht nicht, wenn ein Website-Betreiber nur die fehlerhafte Software auszutauscht. Denn über den Heartbleed-Fehler lassen sich die privaten kryptografischen Schlüssel des Servers auslesen. Die Schlüssel wiederum werden in Zertifikate integriert. Die Zertifikate werden in Browsern oder E-Mail-Programmen der Anwender gespeichert, um einen verschlüsselten Zugang zu verifizieren.

Administratoren betroffener Websites oder E-Mail-Anbieter müssen zunächst die fehlerhafte OpenSSL-Software austauschen, neue Schlüssel und damit neue Zertifikate erstellen. Der Aufwand ist also nicht unerheblich. Schließlich müssen die alten Zertifikate zurückgezogen und damit für ungültig erklärt werden. Denn sonst besteht laut BSI die Gefahr, dass ein "Täter, der den SSL-Schlüssel erlangt hat, eine gefälschte Webseite aufsetzen, Opfer dort hinlocken und vorgaukeln kann, es handele sich um die echte, abgesicherte Seite".



Zertifikatsprüfung weitgehend nutzlos

"Der Zertifikatswechsel ist aber leider auch nur als symbolischer Akt zu sehen, da widerrufene Zertifikate in den meisten Browsern zu keiner Warnung führen. Ist der SSL-Schlüssel einer Webseite also erlangt worden, bleibt die Gefahr von Man-in-the-Middle-Angriffen bestehen", heißt es vom BSI.



Es gebe gegenwärtig ohnehin kein funktionierendes System, mit dem Zertifikate überprüft werden könnten, sagt auch der Kryptografieexperte und Fachjournalist Hanno Böck. Einige Browser überprüften zwar die Gültigkeit der Zertifikate, aber die Prüfung sei weitgehend nutzlos, weil sie bei einem gezielten Angriff verhindert werden könne und das Zertifikat dann trotzdem akzeptiert werde.

Der Betreiber einer betroffenen Website oder ein E-Mail-Anbieter muss seine Kunden informieren und ihnen nahelegen, ihre Kennwörter zu ändern. Viele große Anbieter hätten das auch getan, "schon allein, um eventuelle Haftungsfragen auszuschließen", teilte das BSI mit.