Darmstadt (dpa/tmn) - Ausgerechnet die Verschlüsselungssoftware OpenSSL, die wichtige Daten schützen soll, hat ein Leck. Experten raten: Nutzer sollten sicherheitshalber ihre Passwörter für Webseiten und Dienste ändern. Am wichtigsten ist dabei das E-Mail-Konto.
Nach der Entdeckung der Sicherheitslücke "Heartbleed" sollten Surfer ihre Passwörter wechseln. Ursache des Problems ist ein Fehler in der Verschlüsselungssoftware OpenSSL, die von zahlreichen Webseiten eingesetzt wird, darunter unter anderem Google, Facebook oder Yahoo. Betroffen sind daher fast alle Internetnutzer. Eine Liste verschiedener Webseiten und Dienste hat das US-Blog "Mashable" zusammengestellt.
Potenzielle Angreifer können die OpenSSL-Schwachstelle nutzen, um eigentlich geschützte Informationen abzufangen, darunter auch Zugangsdaten. Der Passwortwechsel ist also erst sinnvoll, wenn eine Webseite die Lücke beseitigt hat. "Namhafte Anbieter sollten ihre Systeme inzwischen aktualisiert haben", glaubt Jan-Peter Stotz vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt.
Google hatte bereits am Donnerstag (10. April) mitgeteilt, die Sicherheitslücke geschlossen zu haben. Von den Diensten des Unternehmens waren unter anderem die Internet-Suche, der E-Mail-Dienst GMail, YouTube und die Download-Plattform Play betroffen. Auch deutsche Banken und Sparkassen berichteten am Donnerstag, Sicherheitslücken in ihren Systemen zu schließen.
Der richtige Zeitpunkt für den Wechsel des Passwortes sei daher jetzt gekommen, sagt Stotz. "Inzwischen weiß ja auch wirklich jeder potenzielle Angreifer über die Lücke Bescheid." Er gehe zwar davon aus, dass die großen Plattformbetreiber ihre Nutzer über den nötigen Passwortwechsel informieren. Unabhängig davon sollte man aber ruhig jetzt schon aktiv werden.
Besondere Aufmerksamkeit verdient dabei das E-Mail-Konto, sagt der Experte: Verschafft sich ein Angreifer Zugriff darauf, kann er über die Passwort-Rücksetzfunktion auch andere Dienste angreifen, bei denen der Nutzer einen Account hat. Das gilt selbst dann, wenn das fehlerhafte OpenSSL dort gar nicht im Einsatz war.
Ein gutes Passwort hat nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) mindestens zwölf Zeichen, darunter neben großen und kleinen Buchstaben auch Zahlen und Sonderzeichen. Namen sind ebenso tabu wie Begriffe aus Wörterbüchern oder Tastaturmuster wie "asdfg". Um den Schaden bei einem erfolgreichen Angriff oder Datendiebstahl möglichst klein zu halten, sollten Nutzer für jeden Dienst ein anderes Passwort verwenden.
Je mehr Nutzerkonten jemand hat, desto schwieriger wird das natürlich. Sicherheitsexperte Stotz empfiehlt daher, sich Hilfe zu besorgen. "Die Faustregel bei Passwörtern ist immer: Besser ein gutes aufgeschriebenes beziehungsweise gespeichertes als ein schlechtes gemerktes", sagt er.
Nutzer können ihre Zugangscodes zum Beispiel einem Passwort-Manager überlassen, die es als Browsererweiterung, PC-Programm oder App gibt. Damit müssen sie sich nur noch ein Master-Passwort merken, der Rest läuft automatisch. Es geht aber durchaus auch analog, erklärt Stotz: "Wichtige Passwörter kann man auch zu Hause auf Papier an einem sicheren Platz abheften." Dort seien sie zwar nicht vor Einbrechern, aber zumindest vor Hackern geschützt.