Die Schwachstelle in der SSL-Verschlüsselung ist gravierend - dadurch kann ein Angreifer einen Server dazu bringen, Informationen wie Passwörter oder Inhalte von E-Mails herauszugeben. Mehrere Webseiten haben die Sicherheitslücke Heartbleed inzwischen behoben. Dort sollten Nutzer nun ihr Passwort ändern.
Von der Lücke betroffen sind und waren nahezu alle Webseiten, E-Mail-Dienste und Chatprogramme, die auf OpenSSL setzen. OpenSSL ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend. Nach einer Analyse von Netcraft nutzen etwa eine halbe Million Webseiten OpenSSL.
Darunter sind so bekannte Dienste aus den USA wie Yahoo und Flickr. Auch deutsche Angebote wie Hypovereinsbank.de, Web.de, Kicktipp.de, Chefkoch.de, das Wörterbuch Leo.org und ein Server des Hauptstadtportals Berlin.de waren betroffen.
Ist eine Seite betroffen, können Internetnutzer zunächst nichts tun. Sie müssen abwarten, bis der Betreiber den OpenSSL-Fehler schließt und seine Server aktualisiert. Verantwortungsvolle Anbieter haben dies mittlerweile getan.
Passwort ändern, wenn die Lücke geschlossen ist
So ist Hypovereinsbank.de nicht mehr von der Sicherheitslücke betroffen. Die Bank habe nach Hinweisen des Bundesamtes für Sicherheit in der Informationstechnik auf die Sicherheitslücke reagiert und die Schwachstelle behoben, teilte das Geldhaus mit. Auch Web.de, Leo.org und Kicktipp.de und Berlin.de betonen, dass nun alle Systeme auf dem neuesten Stand seien.
Bei US-Diensten wie Facebook, Gmail oder Tumblr hat die Techsite Mashable nachgefragt. Auch hier geben die Anbieter an, dass alle Lücken mittlerweile beseitigt seien. Die Zusammstellung findet sich hier.
Ist die Sicherheitslücke geschlossen, sollten Internetnutzer ihr Passwort auf der Seite ändern. Allerdings gilt auch: Wenn die Sicherheitslücke noch nicht geschlossen wurde, sollte das Passwort nicht geändert werden. Angreifer könnten sonst direkt das neue abgreifen. Im Zweifel sollten Nutzer sich vorerst nicht einloggen, wenn sie auf den Dienst verzichten können.
Wurde die betroffene Kombination aus E-Mail-Adresse und Passwort auch für andere Dienste benutzt, sollte auch diese geändert werden. Ein sicheres Passwort muss regelmäßig erneuert werden und setzt sich im Idealfall aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zusammen. Außerdem raten Experten davon ab, echte Wörter oder gar Bestandteile der damit verbundenen E-Mail-Adresse zu verwenden. Ein gängiger Trick, sichere und doch gut zu merkende Passwörter zu erfinden, ist es, sich einen Satz auszudenken und aus den Anfangsbuchstaben der einzelnen Wörter das Kennwort zu bilden.
Der italienische Programmierer Filippo Valsorda hat eine Seite ins Netz gestellt, auf der sich testen lässt, ob eine Seite von der Heartbleed-Schwachstelle betroffen ist. Auch auf der Website der Firma Qualys lässt sich prüfen, ob ein Service betroffen ist.