Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Noch 300.000 Server betroffen: Sicherheitslücke Heartbleed nimmt kein Ende

Bildschirm mit Heartbleed-Logo: Die Lücke gilt als katastrophal Zur Großansicht
[M] DPA

Bildschirm mit Heartbleed-Logo: Die Lücke gilt als katastrophal

Drei Monate nach Bekanntwerden sind 300.000 Internet-Server noch immer von der Heartbleed-Sicherheitslücke betroffen. Nach Meinung eines Sicherheitsexperten wird sich das auch in den nächsten zehn Jahren kaum ändern.

Noch immer sind mehr als 300.000 Internet-Server von der Heartbleed-Sicherheitslücke betroffen, warnt der Sicherheitsexperte Robert Graham nach einem netzweiten Scan. Besonders besorgniserregend ist für ihn, dass sich die Zahl der verwundbaren Systeme seit einem Monat nicht mehr verändert hat: "Für mich ist das ein Zeichen dafür, dass man nicht einmal mehr versucht, das Problem zu beheben."

In den nächsten zehn Jahren erwarte Graham nur einen leichten Rückgang der Zahl verwundbarer Server, einfach, weil die Hardware nach und nach ausgetauscht würde. "In zehn Jahren wird es noch Tausende Systeme geben, auch kritische, die angreifbar sind."

Heartbleed ist eine besonders schwere Sicherheitslücke in einer ehemals zentralen Sicherheitsfunktion bei der Datenübertragung im Internet. Etwa ein Drittel aller Webserver dürften von ihr betroffen sein.

Experten halten die Lücke für katastrophal

Heartbleed heißt der Angriff auf die "Heartbeat"-Funktion des OpenSSL-Programms, über die zwei miteinander verbundene Server sich gegenseitig mitteilen, dass sie noch aktiv sind. Weil dieser digitale Herzschlag einen geradezu trivialen Programmierfehler enthält, können über ihn Kommunikationsinhalte von mit OpenSSL verschlüsselten Verbindungen abgehört werden.

Diese Sicherheitslücke gilt Experten als katastrophal. Das OpenSSL-Programm, in dem der Fehler auftritt, wird von vielen Webservern und anderer Software zur sicheren Kommunikation im Netz eingesetzt. Wer davon wusste, konnte Anfang April theoretisch an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen und rückwirkend verschlüsselte Nachrichten entziffern.

Der US-Geheimdienst NSA hat Heartbleed angeblich systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit "mindestens zwei Jahren" bekannt gewesen, berichtet die Nachrichtenagentur Bloomberg unter Berufung auf Insider. Die US-Regierung dementierte den Vorwurf.

fko

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 3 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
citizengun 23.06.2014
Ärgerlich ist gar nicht dass es diesen Fehler gibt, sondern wie sehr offensichtlich er ins Auge sticht. Die Bloomberg-Nachricht glaube ich gern, denn wer den ganzen Tag nichts anderes tut als solche Fehler zu suchen, der findet diese auch. Für den Geheimdienst sicher ein lohnenends Geschäft, in das er gerne investiert. Um so schlimmer dass viele Grossunternehmen den Code einsetzen ohne überhaupt etwas dafür zu leisten. Selbst Kleckerbeträge für Codereviews werden dem Gewinn geopfert. Glücklicherweise sieht es bei Closed-Sorce noch viel übler aus, denn die Entwickler dort müssen sich nur selbst schämen. Den Quellcode sieht keiner und alles was zählt ist die laufende Visualisierung.
2. Da kommt noch mehr...!
thoscha 24.06.2014
Heartbleed..? Da muß einem ja das Herz bluten, bei soviel Dummheit und Ignoranz. Aber das ist noch lange nicht das Ende der Fahnenstange. Es gibt noch ein paar Fehler - dagegen ist Heartbleed ein Witz.An den Schnitt-stellen dieser Progs kann man mit entsprechender Saft -ware Daten generieren bis zum St. Nimmerleins Tag.
3. Schlußfolgerungen
Bernd.Brincken 24.06.2014
Die Schlußfolgerungen in dem Artikel und in dem verlinkten Text sind aber etwas überzogen. So vermutet Graham "people have stopped even trying to patch". Plausibel ist doch eher, dass die Betreiber dieser Server sich nicht für die openSSL-Lücke interessieren, vielleicht weil die Software zwar auf ihren Servern installiert ist - wie auf den meisten Linux/Posix-Systemen - aber keine relevanten Prozesse diese nutzen. Auch die Formel "Wer davon wusste, konnte Anfang April theoretisch an sensible Informationen bei großen Diensten wie Facebook, Yahoo, Google und etlichen anderen gelangen" ist etwas irreführend. Verschlüsselt werden ja immer mehr Dienste, ganz unabhängig davon wie sensibel die Daten sind, und das ist auch gut so. Früher gab es das Argument, Webseiten-Verschlüsselung würde Rechenzeit kosten, das ist bei der Performance heutiger Multicore-Systeme kaum haltbar. Umgekehrt ist es angezeigt, stets alle Datenströme zu verschlüsseln, damit die Unterscheidungskraft, dass verschlüsselte Daten eher wertvoll seien, wegfällt. Das gilt natürlich auch für Web-Foren.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: