Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

Die von ZDNet untersuchten Provider haben nun alle den Patch für die OpenSSL-Lücke eingespielt, sodass ein Angriff über die Heartbleed-Schwachstelle nicht mehr möglich ist. Auch die Zertifikate wurden erneuert. Nutzer können nun ihre Passwörter ändern.

OpenSSL-Bug HeartbleedEin Test der E-Mail-Server von 1&1, Freenet, GMX, Mailbox.org, Posteo, Telekom und Web.de bestätigt, dass die größten deutschen Provider nicht mehr anfällig für den Heartbleed-Bug sind. Von den von ZDNet.de überprüften Servern haben inzwischen alle die von dem Fehler nicht betroffene Version OpenSSL 1.0.1g installiert und auch neue Zertifikate eingespielt.

Die alten Zertifikate sollten von den Anbietern für ungültig erklärt werden, da sonst die Gefahr einer Man-in-the-middle-Attacke besteht, wie Mailbox.org erklärt: „Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen.“

Die höchste Sicherheitseinstufung erreichen die Server von Posteo und Mailbox.org, die HSTS unterstützen. In Verbindung mit Firefox wird Mailbox.org als SSL-only-Domain erkannt, was die Sicherheit weiter erhöht. Inzwischen setzen die Anbieter bis auf Freenet auch die neueste TLS-Spezifikation 1.2 um. Forward Secrecy bieten nun ebenfalls sämtliche großen Maildienste. Nutzer des Internet Explorer müssen auf dieses Feature bei Freenet allerdings verzichten.

Heartbleed-Bug: Status deutscher Provider hinsichtlich Patch, erneuerten Zertifikaten, Forward Secrecy und TLS-Unterstützung (Stand 16.4.2014)

Anbieter 1&1 Freenet GMX Posteo Mailbox.org Telekom Web.de
Patch ja ja ja ja ja ja ja
Sicheres Zertifikat ja ja ja ja ja ja ja
TLS 1.2 ja nein ja ja ja ja ja
Forward Secrecy ja ja* ja ja ja ja ja
Qualys SSL Test A B A A+ A+ A A


*nicht mit Internet Explorer

Nutzer betroffener Server sollten in jedem Fall ihr Kennwort ändern und dies erneut durchführen, sobald die Serverbetreiber die Aktualisierung der Zertifikate abschlossen haben. Die Gefahr durch den Heartbleed-Bug war etwas weniger groß für Websites, die bereits vor Entdeckung des Fehlers die Funktion Forward Secrecy genutzt haben. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.

Die meisten von der in OpenSSL entdeckten Sicherheitslücke Heartbleed betroffenen Dienstleister haben Nutzer bisher nicht darüber aufgeklärt, dass seit zwei Jahren ein hohes Risiko für das Stehlen von Zugangsdaten bestanden hat. Angesichts der Tatsache, dass anerkannte Sicherheitsexperten wie Bruce Schneier den Fehler „auf einer Skala von 0 bis 10 mit 11“ bewerten, verwundert dies ein wenig. Besorgte Anwender können aber folgende Online-Tools nutzen, um sich über den aktuellen Status eines Servers zu informieren.

 

filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.

Weitere Artikel zum Thema:

 

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer
Autor: Kai Schmerer
Chefredakteur
Kai Schmerer Kai Schmerer Kai Schmerer Kai Schmerer

Neueste Kommentare 

Eine Kommentar zu Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

  • Am 16. April 2014 um 22:44 von Peer Heinlein

    Anders als im Artikel geschrieben, erreicht mailbox.org beim Qualys SSL-Test exakt die gleichen Sicherheitswerte, wie posteo.

    https://www.ssllabs.com/ssltest/analyze.html?d=mailbox.org

    Auch setzt mailbox.org natürlich HSTS um. Viel mehr noch: mailbox.org wird bereits von vornherein im Browser Firefox als SSL-Only-Domain geführt, das ist noch eine Stufe härter als HSTS.

    mailbox.org belegt also ebenfalls den ersten Platz und hat gemeinsam mit Posteo die besten Sicherheitseinstellungen aller Anbieter im Test haben. -Ehre, wem Ehre gebührt…

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *