11 April 2014

Heartbeat - heartbleed - Katastrophe oder Panikmache?

von Frank Romeike

Im Internet gibt es keine 100% ige Sicherheit

Heartbleed-Patch-NeededDer Aufschrei ist groß und der Anlass nicht ganz von der Hand zu weisen - eine Komponente (Heartbeat*) des Verschlüsselungsstandards  OpenSSL weist eine gravierende Sicherheitslücke (Heartbleed) auf. Für den Laien dürfte diese Information erst einmal nicht viel hergeben.
Im Klartext bedeutet das aber: Alle Internetseiten und Dienste, die mit der betroffenen Version der weitverbreiteten OpenSSL-Verschlüsselung arbeiten, sind von aussen angreifbar und zwar so "schlimm", dass der Webserver den Angreifern unter Umständen Interna wie z. B. Passwörter von Nutzern Preis gibt.

Es hört sich schlimm an und das ist es für Betroffene wohl auch. Bewiesen wird aber durch diesen Vorfall erneut:
NICHTS im internet ist 100% sicher!
Grund zur Panik besteht allerdings nicht oder nur bedingt und wenn dann auch nur für einen bestimmten Personenkreis.

Wer und was ist also betroffen?

1. Webseitenbetreiber die Ihre Seite mit einem SSL Zertifikat verschlüsseln das die betroffene Version von OpenSSL nutzt.
2. Nutzer verschiedener Dienste (Soziale Netzwerke, E-Mailanbieter) die bei mehreren Anbietern das selbe Passwort nutzen.
Was ist zu tun:

1. Webseitenbetreiber sollten sich mit ihrer Agentur und ihrem Webspace-Provider in Verbindung setzen um herauszufinden ob sie von dem Sicherheitsleck betroffen sind. Wenn ja sollte das betroffene Zertifikat unbedingt ersetzt werden und danach alle Passwörter geändert werden.

2. Endnutzer sollten sich darüber informieren, ob Internetdienste die sie nutzen von Heartbleed betroffen sind und ggf. ebenfalls nach der Beseitigung der Heartbleed Lücke ihre Passwörter ändern.

Einige Dienste - z. B. Soundcloud kündigen auch von sich aus einen Reset der Passwörter an.

Eine Liste der betroffenen Dienste finden sie hier:


Weitere Info u. A. hier: https://netzpolitik.org/2014/drei-tage-heartbleed-was-tun/

Als grundlegende Empfehlung aber das 1000 mal gesagte: Benutzen Sie sichere Passwörter und unterschiedliche Passwörter für unterschiedliche Dienste. 
Geben Sie im Internet nichts Preis, dass Sie nicht auch auf einem T-Shirt tragen würden. Es ist nicht sicher!


* Die Komponente nennt sich Heartbeat, da sie die Funktion hat die Verbindung zwischen Server und Klient aufrecht zu halten...

Über den Autor

Frank Romeike

Frank Romeike

Frank Romeike Webdesigner in Münster - Internetarbeiter seit 1998.

Ich betreibe meine kleine Agentur für Webdesign mit viel Freude und vollem Einsatz für die Online-Projekte meiner Kunden.
Die in über 20 Jahren gesammelten Erfahrungen im Bereich Webdesign, Online-Shops und Vermarktung stelle ich gerne in den Dienst meiner Kunden und Kundinnen. Ich denke und arbeite Kundenorientiert und effektiv. 

Neben der eigentlichen Erstellung und Betreuung von Webseiten und E-Commerce-Projekten fasziniert mich vor allem der Marketingaspekt. Ich betreue meine Kunden auch in Bezug auf Suchmaschinenoptimierung (SEO) und Online-Marketing. Von der Keywordrecherche über die optimale Domain bis hin zur Anzeigenkampagne. Nur dann erfüllt ein Web-Projekt auch seinen eigentlichen Zweck, nämlich Menschen zu erreichen und zu bewegen.

Gemeinsam mit vielen kompetenten und kreativen KollegInnen (Grafiker, Texter, Marketer und Programmierer) biete ich so alle Leistungen einer Full Service Webagentur aus einer Hand.  

Web Profile:
https://www.facebook.com/activewebsight
https://twitter.com/FrankRomeike