Kürzlich wurde eine Sicherheitslücke in OpenSSL (Version 1.0.1 und 1.0.2-beta), auch Heartbleed-Bug genannt, entdeckt. Durch die Heartbleed-Lücke ist Zugriff auf 64 KByte des flüchtigen Speichers eines Webservers möglich. Welche Informationen aus diesen 64 KByte auslesbar sind, ist allerdings reiner Zufall. Trotzdem besteht die Gefahr, dass Angreifer geheime Schlüssel für die mit OpenSSL genutzten X.509-Zertifikate stehlen und damit Zugriff auf vertrauliche Daten wie Benutzernamen, Passwörter, Instant Messages, E-Mails und geschäftskritische Dokumente erhalten. Für Webseiten, die bereits die Funktion Perfect Forward Secrecy nutzen, ist die Gefahr zwar weniger groß, dennoch sind viele Seiten und Dienste von Heartbleed betroffen. Einer Statistik von Netcraft zufolge sind 17,5 Prozent aller Webserver anfällig, die die OpenSSL-Technologie verwenden.
Aufgrund der OpenSSL-Lücke, die auch Heartbleed-Bug genannt wird, sollten Nutzer zur Sicherheit die Passwörter von Facebook, Google Mail, Youtube und auch Dropbox ändern. Folgender Artikel hält eine Liste mit Webseiten und Diensten bereit, die vom Heartbleed-Bug betroffen sind (Bild: via CNET.com).Zwar wurden die meisten Webseiten und Dienste mittlerweile gepatcht, im Grunde müsste aber jeder Nutzer einer gefährdeten Seite sein Passwort wechseln, da es längst kompromittiert sein könnte. Das Internet Storm Centre (ISC) des SANS Institute in Australien zufolge sei ein Passwort-Wechsel “wahrscheinlich eine gute Idee”. “Selbst wenn es nicht durchgesickert ist, kann man dabei höchstwahrscheinlich nichts kaputt machen.” Allerdings sei ein bedächtiges Vorgehen mit komplexen, für jede Seite unterschiedlichen Passwörtern anzuraten. Sinnvoll sei die Installation eines Passwort-Managers. “Wenn Sie sich alle Passwörter merken müssen und das auch noch schaffen, sind Ihre Passwörter zu schwach,” so ISC Chief Technology Officer Johannes Ullrich.
Eine einfache Möglichkeit, herauszufinden, ob eine Webseite oder ein Dienst anfällig ist, bieten der Heartbleed-Checker von LastPass, der von Filippo Valsorda bereitgestellte Test oder Qualys SSL Server Test. Durch die Tests lässt sich feststellen, ob eine Seite noch anfällig ist oder schon gepatcht wurde. Welche Seiten generell anfällig waren, lässt sich aber nur schwer erkennen. Der Heartbleed-Checker informiert beispielsweise auch über den Installationszeitpunkt des Zertifikats.
Generell kann ein regelmäßiger Passwortwechsel zwar nie schaden, aber bei der großen Anzahl an Webseiten und Diensten, die heutzutage jeder nutzt, ist dies auch ein größerer Aufwand. Deshalb haben wir eine kleine Liste mit populären Webseiten und Diensten zusammengestellt, um Anhaltspunkte zu geben, auf welchen Seiten das Passwort zur Sicherheit geändert werden sollte und auf welchen es aufgrund des Heartbleed-Bugs aktuell nicht zwingend nötig ist. Das Ändern des Passworts sollte im Allgemeinen erst passieren, nachdem die betreffende Seite den Patch für die Heartbleed-Lücke nutzt und neue Zertifikate in Betrieb sind.
Eine ausführliche Liste mit verschiedenen Servern, die von der Heartbleed-Lücke betroffenen sind, steht auf Github zur Verfügung. Außerdem haben unsere amerikanischen Kollegen von CNET.com sowie Mashable.com Listen mit Webseiten und Diensten zusammengestellt. Wir haben auf Basis dieser Daten die für Deutschland relevantesten Seiten herausgesucht.
| Webseite | Test | Bestätigung der Webseite |
|---|---|---|
| Google (Mail, Play, Suche, Wallet) | Bestanden | Sicherheitslücke laut Google gepatcht. Passwortänderung empfohlen (laut Google nicht nötig, via Mashable) |
| Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) | |
| Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) | |
| YouTube | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen, (laut Google nicht nötig, via Mashable) |
| Yahoo! | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Amazon | Bestanden | War nicht anfällig (via Mashable) |
| Wikipedia | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Bestanden | War nicht anfällig (via CNET.com) | |
| eBay | Bestanden | War nicht anfällig (via CNET.com) |
| PayPal | Bestanden | War nicht anfällig (via CNET.com) |
| Bestanden | War nicht anfällig (via CNET.com) | |
| Blogspot | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Bing | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Microsoft Live | Bestanden | War nicht anfällig (via Mashable) |
| Hotmail | Bestanden | War nicht anfällig (via Mashable) |
| Bestanden | noch nicht geklärt (via CNET.com) | |
| Tumblr | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| WordPress | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via Mashable) |
| MSN | Test nicht möglich | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Microsoft | Bestanden | War nicht anfällig (via Mashable) |
| Flickr | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Blogger | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Googleusercontent.com | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Dropbox | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) |
| Hypovereinsbank | 2 von 3 bestanden, Heartbleed-Checker nicht) | Sicherheitslücke offenbar gepatcht. Passwortänderung empfohlen (keine spezifischen Angaben, via Deutsche Kreditwirtschaft) |
| Deutsche Banken & Sparkassen | kein Test durchgeführt | Sicherheitslücke offenbar gepatcht. Passwortänderung empfohlen (keine spezifischen Angaben, via Deutsche Kreditwirtschaft) |
| Steam | Kein Test durchgeführt | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via Steam Database) |
| GMX | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| Web.de | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| 1&1 Mail | 2 von 3 bestanden, Heartbleed-Checker nicht) | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| Freenet | Heartbleed-Checker nicht, weitere Tests nicht möglich | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| Telekom E-Mail | 2 von 3 bestanden, Heartbleed-Checker nicht) | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| Posteo | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| Mailbox.org | Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via ZDNet.de) |
| AOL | Bestanden | War nicht anfällig (via Mashable) |
| LastPass | Bestanden | Sicherheitslücke gepatcht. Passwortänderung offenbar nicht nötig (via ZDNet.de) |
| Bestanden | Sicherheitslücke gepatcht. Passwortänderung empfohlen (via CNET.com) | |
| Apple (Website, iOS, OS X, wichtige Webdienste) | Bestanden | War nicht anfällig (via CNET.com) |
| TripAdvisor | Bestanden | War nicht anfällig (via CNET.com) |
| Android 4.1.1 (wahr. auch 4.1.0) | Kein Test durchgeführt; Selbsttest mit Heartbleed Detector | Sicherheitslücke vermutlich nicht gepatcht, Updates checken. Mit Passwortänderung abwarten (weitere Infos gibt es hier) |
| Groupon | Bestanden | War nicht anfällig (via CNET.com) |
| BlackBerry (evtl. Secure Work Space und BBM) | Kein Test durchgeführt | Sicherheitslücke noch nicht gepatcht. Patch wird für Freitag erwartet. Laut BlackBerry ist das Risiko aber sehr gering. Mit Passwortänderung abwarten (via ZDNet.com) |
OpenSSL ist eine quelloffene und weit verbreitete Lösung für verschlüsselte Online-Kommunikation mit SSL/TLS via Apache- und Nginx-Webserver. Sie kann für HTTPS ebenso wie E-Mail- oder Messaging-Verschlüsselung verwendet werden.
[Mit Material von Jason Cipriani, CNET.com & Kai Schmerer, ZDNet.de]
Neueste Kommentare
2 Kommentare zu OpenSSL-Lücke Heartbleed: auf welchen Webseiten sollte man das Passwort ändern?
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.
Gut geschriebener Artikel.
Danke
ps. warum soll/muss ich zum Kommentar ein e-mail angeben. captcha
Noch mehr getestet deutsche Seiten findet man hier: http://weblauscher.com/heartbleed-diese-deutschen-internetseiten-sind-betroffen