Was steckt hinter der Heartbleed-Sicherheitslücke?
Daten Horror-GAU, gravierendste Sicherheitslücke aller Zeiten, Millionen Web-Nutzer gefährdet: Derzeit überschlagen sich die Superlative bezüglich der neuesten Sicherheitslücke in den Medien. Das genaue Ausmaß von Heartbleed lässt sich nicht genau abschätzen. Klar ist: Viele der populärsten Netzdienste sind von dem Breech betroffen – soziale Netzwerke wie Facebook, die E-Maildienste Gmail und Yahoo Mail, der Speicherdienst Dropbox und Wunderlist sind nur einige Beispiele.
Das genaue Ausmaß lässt sich nicht genau abschätzen: Das Sicherheitsloch bestand seit nunmehr zwei Jahren. Besonders erschwerend kommt hinzu, dass das Ausspähen der verschlüsselten Daten nicht nachzuvollziehen ist. Im Kontext der Datenauspähskandale der letzten Zeit ist Heartbleed also sicherlich ein Daten-GAU. Doch was genau steckt hinter dem Bug? Was hat er für Auswirkungen?
Der sichere und vertrauliche Datenverkehr im Internet ist heute selbstverständlich – Sicherheitslücken, gestohlene Login-Daten oder regelmäßige Veröffentlichungen der meistverwendeten Passwörter sensibilisieren zunehmend auch die weniger netzaffinen Nutzer. Eine Online-Überweisung, die Bezahlung per Kreditkarte im Onlineshop, der Abruf von E-Mails oder das Versenden von sensiblen Unterlagen – alles für uns mittlerweile alltägliche Vorgänge, die wir über sichere Kommunikationswege erledigen.
Allen gemein ist, dass für die Verschlüsselung dieser Kommunikation das Protokoll TLS (Transport Layer Security) verwendet wird. TLS ist weitläufiger unter dem alten Namen SSL (Secure Socket Layer) bekannt.
Die verbreiteteste Implementierung ist die OpenSSL-Bibliothek, welche so gut wie von jedem Web- und Mailserver eingesetzt wird. Vorsichtig geschätzt, sind das mehrere 100 Millionen Websites. Beim Surfen im Netz erkennt man eine sichere Interntverbindung am Schloss in der Adresszeile des Internetbrowsers und der Protokollangabe https (http secure).
Da das Aufbauen von verschlüsselten Verbindungen teuer ist, wurde im Jahr 2012 eine Zusatzfunktion zur Unterstützung von Heartbeats für OpenSSL entwickelt. Ein Heartbeat ist ein Signal, das anzeigt, dass die Gegenseite noch erreichbar, also am Leben, ist. Ist das der Fall, wird die verschlüsselte Verbindung gehalten. Genau dieser Hearbeat, der die Kommunikation vereinfachen soll, hatte jedoch eine gravierende Sicherheitslücke, die bei geschickten Anfragen bis zu 64 Kilobyte von vertraulichen Daten des Servers preisgegeben hat. Das kann von Logindaten bis zu den Private Keys des verschlüsselnden Servers reichen.
Das Herz von OpenSSL blutet also sprichwörtlich aus: Daher Heartbleed.
Was heißt das für Websitebetreiber?
Betroffen sind alle Webseitenbetreiber, die verschlüsselte Dienste über SSL anbieten und dafür auf die OpenSSL-Bibliothek setzen. Startups sollten daher aktiv handeln und Ihre Software umgehend aktualisieren und vorhandene SSL-Zertifikate sofort erneuern. Gründerszene befragte einige Startup-Vertreter, wie sie auf die Sicherheitslücke reagierten. Ihre Antworten im Artikel.
Zudem bietet sich bei Vorfällen wie dem aktuellen die Gelegenheit, die eigenen genutzten Internetdienste genau unter die Lupe zu nehmen. Wie ist meine Infrastruktur gegen Angriffe gewappnet? Ein digitaler Frühjahrsputz ist also angesagt: Gerade Startups müssen einen Schritt nach vorne wagen und ihre Kunden rechtzeitig und umfassend über Sicherheitslücken und einhergehende Gefahrenpotenziale informieren – nicht zuletzt, weil sie als Innovatoren mit dem nötigen Hintergrundwissen eine besondere Verantwortung tragen.
Sobald die Systeme wieder auf den neuesten Stand gebracht wurden, sollten Kunden sachlich informiert werden, dass existierende Logins nicht mehr als sicher gelten und daher aktualisiert werden sollten.
Heartbleed offenbart einmal mehr die Tragik von Open-Source-Software: Viele, viele Nutzer, doch zu wenig Bereitschaft, die praktischen Addons, Bibliotheken und Funktionen auszubessern.