OpenSSL-Lücke Heartbleed: auf welchen Webseiten sollte man das Passwort ändern?

Aufgrund der OpenSSL-Lücke, die auch Heartbleed-Bug genannt wird, sollten Nutzer zur Sicherheit die Passwörter von Facebook, Google Mail, Youtube, Instagram und auch Dropbox ändern. Folgender Artikel hält eine Liste mit Webseiten und Diensten bereit, die vom Heartbleed-Bug betroffen sind.

Kürzlich wurde eine Sicherheitslücke in OpenSSL (Version 1.0.1 und 1.0.2-beta), auch Heartbleed-Bug genannt, entdeckt. Durch die Heartbleed-Lücke ist Zugriff auf 64 KByte des flüchtigen Speichers eines Webservers möglich. Welche Informationen aus diesen 64 KByte auslesbar sind, ist allerdings reiner Zufall. Trotzdem besteht die Gefahr, dass Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und damit Zugriff auf vertrauliche Daten wie Benutzernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente erhalten. Für Webseiten, die bereits die Funktion Perfect Forward Secrecy nutzen, ist die Gefahr zwar weniger groß, dennoch sind viele Seiten und Dienste von Heartbleed betroffen. Einer Statistik von Netcraft zufolge sind 17,5 Prozent aller Webserver anfällig, die die OpenSSL-Technologie verwenden.

OpenSSL-Lücke Heartbleed: auf welchen Webseiten sollte man das Passwort ändern

Aufgrund der OpenSSL-Lücke, die auch Heartbleed-Bug genannt wird, sollten Nutzer zur Sicherheit die Passwörter von Facebook, Google Mail, Youtube und auch Dropbox ändern. Folgender Artikel hält eine Liste mit Webseiten und Diensten bereit, die vom Heartbleed-Bug betroffen sind (Bild: via CNET.com).

Zwar wurden die meisten Webseiten und Dienste mittlerweile gepatcht, im Grunde müsste aber jeder Nutzer einer gefährdeten Seite sein Passwort wechseln, da es längst kompromittiert sein könnte. Das Internet Storm Centre (ISC) des SANS Institute in Australien zufolge sei ein Passwort-Wechsel “wahrscheinlich eine gute Idee”. “Selbst wenn es nicht durchgesickert ist, kann man dabei höchstwahrscheinlich nichts kaputt machen.” Allerdings sei ein bedächtiges Vorgehen mit komplexen, für jede Seite unterschiedlichen Passwörtern anzuraten. Sinnvoll sei die Installation eines Passwort-Managers. “Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach,” so ISC Chief Technology Officer Johannes Ullrich.

Eine einfache Möglichkeit, herauszufinden, ob eine Webseite oder ein Dienst anfällig ist, bieten der Heartbleed-Checker von LastPass, der von Filippo Valsorda bereitgestellte Test oder Qualys SSL Server Test. Durch die Tests lässt sich feststellen, ob eine Seite noch anfällig ist oder schon gepatcht wurde. Welche Seiten generell anfällig waren, lässt sich aber nur schwer erkennen. Der Heartbleed-Checker informiert beispielsweise auch über den Installationszeitpunkt des Zertifikats.

Generell kann ein regelmäßiger Passwortwechsel zwar nie schaden, aber bei der großen Anzahl an Webseiten und Diensten, die heutzutage jeder nutzt, ist dies auch ein größerer Aufwand. Deshalb haben wir eine kleine Liste mit populären Webseiten und Diensten zusammengestellt, um Anhaltspunkte zu geben, auf welchen Seiten das Passwort zur Sicherheit geändert werden sollte und auf welchen es aufgrund des Heartbleed-Bugs aktuell nicht zwingend nötig ist. Das Ändern des Passworts sollte im Allgemeinen erst passieren, nachdem die betreffende Seite den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind.

Eine ausführliche Liste mit verschiedenen Servern, die von der Heartbleed-Lücke betroffenen sind, steht auf Github zur Verfügung. Außerdem haben unsere amerikanischen Kollegen von CNET.com sowie Mashable.com Listen mit Webseiten und Diensten zusammengestellt. Wir haben auf Basis dieser Daten die für Deutschland relevantesten Seiten herausgesucht.

Webseite Test Bestätigung der Webseite
Google (Mail, Play, Suche, Wallet) Bestanden Sicherheitslücke laut Google gepatcht. Passwortänderung empfohlen (laut Google nicht nötig, via Mashable)
Facebook Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Instagram Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
YouTube Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen,  (laut Google nicht nötig, via Mashable)
Yahoo! Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Amazon Bestanden War nicht anfällig (via Mashable)
Wikipedia Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
LinkedIn Bestanden War nicht anfällig (via CNET.com)
eBay Bestanden War nicht anfällig (via CNET.com)
PayPal Bestanden War nicht anfällig (via CNET.com)
Twitter Bestanden War nicht anfällig (via CNET.com)
Blogspot Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Bing Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Microsoft Live Bestanden War nicht anfällig (via Mashable)
Hotmail Bestanden War nicht anfällig (via Mashable)
Pinterest Bestanden noch nicht geklärt (via CNET.com)
Tumblr Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
WordPress Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via Mashable)
MSN Test nicht möglich Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Microsoft Bestanden War nicht anfällig (via Mashable)
Flickr Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Blogger Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Googleusercontent.com Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Dropbox Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Hypovereinsbank 2 von 3 bestanden, Heartbleed-Checker nicht) Sicherheitslücke offenbar gepatcht. Passwortänderung empfohlen (keine spezifischen Angaben, via Deutsche Kreditwirtschaft)
Deutsche Banken & Sparkassen kein Test durchgeführt Sicherheitslücke offenbar gepatcht. Passwortänderung empfohlen (keine spezifischen Angaben, via Deutsche Kreditwirtschaft)
Steam Kein Test durchgeführt Sicherheitslücke gepatcht. Passwortänderung empfohlen (via Steam Database)
GMX Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
Web.de Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
1&1 Mail 2 von 3 bestanden, Heartbleed-Checker nicht) Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
Freenet Heartbleed-Checker nicht, weitere Tests nicht möglich Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
Telekom E-Mail 2 von 3 bestanden, Heartbleed-Checker nicht) Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
Posteo Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
Mailbox.org Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de)
AOL Bestanden War nicht anfällig (via Mashable)
LastPass Bestanden Sicherheitslücke gepatcht. Passwortänderung offenbar nicht nötig (via ZDNet.de)
Reddit Bestanden Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com)
Apple (Website, iOS, OS X, wichtige Webdienste) Bestanden War nicht anfällig (via CNET.com)
TripAdvisor Bestanden War nicht anfällig (via CNET.com)
Android 4.1.1 (wahr. auch 4.1.0) Kein Test durchgeführt; Selbsttest mit Heartbleed Detector Sicherheitslücke vermutlich nicht gepatcht, Updates checken. Mit Passwortänderung abwarten (weitere Infos gibt es hier)
Groupon Bestanden War nicht anfällig (via CNET.com)
BlackBerry (evtl. Secure Work Space und BBM) Kein Test durchgeführt Sicherheitslücke noch nicht gepatcht. Patch wird für Freitag erwartet. Laut BlackBerry ist das Risiko aber sehr gering. Mit Passwortänderung abwarten (via ZDNet.com)

OpenSSL ist eine quelloffene und weit verbreitete Lösung für verschlüsselte Online-Kommunikation mit SSL/TLS via Apache- und Nginx-Webserver. Sie kann für HTTPS ebenso wie E-Mail- oder Messaging-Verschlüsselung verwendet werden.

[Mit Material von Jason Cipriani, CNET.com & Kai Schmerer, ZDNet.de]

Christian Schartel
Autor: Christian Schartel
Redakteur
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

2 Kommentare zu OpenSSL-Lücke Heartbleed: auf welchen Webseiten sollte man das Passwort ändern?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *