Sie befinden sich hier:Unternehmen/Presse/Netzangriff ohne Spuren

Netzangriff ohne Spuren

Datenlücke offenbart erneut Gefahren des Internets / Nutzer sollten wichtige Passwörter ändern

MÜNSTER/ MARL. (dpa/ ske) Es war ein banaler Patzer mit einer großen Wirkung: Eine Lücke in der Verschlüsselungssoftware OpenSSL machte Hunderte Millionen Internet-Nutzer zum potenziellen Angriffsziel - sie müssen jetzt unbedingt wichtige Passwörter ändern. Das Schlimme: Keiner weiß, wie viele solcher Fehler noch in unzähligen Zeilen Software-Code schlummern.


Die wohl gravierendste Sicherheitslücke in der Geschichte des Internets blieb über zwei Jahre lang unentdeckt, obwohl der Programmiercode für jedermann zugänglich war. Die Verschlüsselungs-Software OpenSSL, in der die fehlerhafte Programmzeile steckte, ist ein sogenanntes Open-Source-Projekt. Das heißt, jeder kann den Programm-Code einsehen und weiterentwickeln. Diese Offenheit sorge für mehr Sicherheit, betonen Verfechter der Open-Source-Bewegung. Nichts geschehe im Verborgenen. Doch am Ende war es nicht die OpenSSL-Gemeinschaft, die den Fehler bemerkte, sondern Mitarbeiter von Google und einer finnischen IT-Sicherheitsfirma.

"Der Fehler an sich ist ziemlich trivial", erklärt kleinlaut Programmierer Rabin S. aus Münster (mittlerweile arbeitet er in Süddeutschland), dem das verheerende Missgeschick unterlief. Er hatte an einer Stelle eine sogenannte Längenprüfung vergessen. Damit konnten bei eigentlich harmlosen Verbindungs-Anfragen zusätzliche Informationen aus dem Speicher abgerufen werden. Darunter auch Passwörter und der Schlüssel, mit dem alle gesicherten Daten offen sichtbar werden.

"Heartbeat" - Herzschlag - heißt die betroffene Funktion, die im Grunde nur prüfen soll, ob die Verbindung zwischen dem Server hinter einer Website und einem Nutzer noch steht. Die Experten der finnischen Firma Codenomicon tauften die Lücke entsprechend auf den Namen "Heartbleed", denn dieses Herz blutet.

Auch Google und Facebook betroffen

Das Verhältnis von einem kleinen Fehler, den sich ein ehemaliger Student der Fachhochschule Münster geleistet hat, und seinen welterschütternden Konsequenzen ist ebenso erschreckend wie faszinierend. Hunderttausende Internetseiten auch der Giganten Google und Facebook mit ihren Milliarden Nutzern sind betroffen. Zudem schaffte es der Software-Fehler auch noch in Netzwerk-Technik der Ausrüster Cisco und Juniper, über die ein Großteil des weltweiten Datenverkehrs läuft. Das besonders perfide dabei: Ein "Heartbleed"-Angriff hinterlässt keine Spuren. Rein theoretisch könnten also böswillige 'Hacker oder Geheimdienste seit langem alle möglichen vermeintlich mit Verschlüsselung geschützte Daten mitgelesen haben.

Zudem: Mit den möglicherweise abgegriffenen Sicherheitsinformationen der großen Anbieter wie Amazon oder eBay könnten nun die Diebe in deren Identität schlüpfen und die Verbraucher merken nicht, wenn sie auf vermeintlich echten und sicheren Seiten Transaktionen tätigen, anstatt im "richtigen" Internet-Shop.

Fehler passieren auch bei kommerziellen Top-Adressen der Branche. Erst im Februar war Apple wegen eines ähnlichen Problems in die Kritik geraten. Auch dort war es der Fehler eines einzelnen Entwicklers, der unbemerkt geblieben war und dazu führen konnte, dass Verbindungen zu iPhones, iPads oder Macs nicht mehr sicher waren.


INFO

Das sollten Sie jetzt unbedingt machen


"Jetzt hilft nur eins: Passwörter ändern", empfiehlt Thomas Ververs vom Internetdienstleister Dr. Bülow & Masiak GmbH in Marl. Seit die Sicherheitslücke "Heartbleed" bekannt wurde, ist die Unsicherheit unter den Internetnutzern groß. Zu Recht: "Das Schlimme ist, dass niemand weiß, ob seine Daten bereits abgegriffen wurden und dass der Fehler nicht am heimischen Rechner liegt, sondern der Nutzer darauf vertrauen muss, dass die Internetfirmen die Sicherheitslücke schließen", erklärt Ververs im Gespräch mit unserer Zeitung. Zumal auch keiner mit Gewissheit sagen kann, wer alles wirklich von "Heartbleed" betroffen ist.

Natürlich müssen jetzt nicht gleich alle Passwörter geändert werden, beruhigt der Experte. Am wichtigsten sei das des E-Mail-Kontos. Verschafft sich ein Angreifer Zugriff darauf, kann er über die Passwort-Rücksetzfunktion auch andere Dienste angreifen, bei denen der Nutzer einen Account hat. "Aber natürlich auch alle Zugänge, mit denen solche Informationen verknüpft sind, die mir persönlich oder finanziell schaden. können, wie bei Facebook oder Amazon", rät Ververs.

Hier ein paar Tipps für Passwörter, die nicht so schnell geknackt werden können:
  • Es sollte mindestens zwölf Zeichen lang sein.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern(?!%+... ) bestehen.
  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw.
  • Wenn möglich, sollte es nicht in Wörterbüchern vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd usw.
Aber wie merkt man sich ein gutes Passwort? Eine beliebte Methode funktioniert so: Man denkt sich einen Satz aus und benutzt von jedem Wort nur den 1. Buchstaben. Anschließend verwandelt man bestimmte Buchstaben in Zahlen oder Sonderzeichen:

"Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang." Nur die 1. Buchstaben: "MsiaupmmZdMl". "i und l" sieht aus wie "1", "&"ersetzt das "und" und "drei" wird zur Ziffer: "Ms1a&pmmZ3M1".
Marler Zeitung, Dienstag 15.04.2014