Interview zur Sicher­heits­lücke Heart­bleed Meldung

IT-Sicher­heits-Experte Marcus Pritsch

16 Millionen geklaute E-Mail­adressen und Pass­wörter im Januar, 18 Millionen im April. Nun die nächste Schock­meldungen für Internet-Nutzer: Auch andere sensible Daten wie Kreditkarten­informationen waren auf vielen Webseiten nicht sicher. Schuld daran ist ein Fehler namens Heart­bleed in der Verschlüsselungs­technik OpenSSL. Was Nutzer tun können, um im Netz sicherer zu sein, klärt test.de im Interview mit Marcus Pritsch, dem IT-Sicher­heits-Experten der Stiftung Warentest.

Nutzer können Gefahren selbst nicht erkennen

Wer ist von der neuen Sicher­heits­lücke betroffen?

Das Sicher­heits­risiko besteht prinzipiell für jeden Surfer, der Pass­wörter, Kreditkarten- oder sons­tige schützens­werte Informationen auf einer betroffenen Webseite eingibt, auch wenn er selbst einen gut abge­sicherten PC benutzt. Geschätzt 18 Prozent aller Webserver haben die Software benutzt. Anfäl­lig waren dadurch beispiels­weise Konten bei Adobe, Yahoo, web.de und Google, aber auch Zugänge der Hypo­Ver­eins­bank, der österrei­chischen Sparkasse und von Kaspersky. Ob eine Webseite OpenSSL benutzt hat und ob die Sicher­heits­lücke noch besteht, kann der Nutzer nicht selbst erkennen. Die meisten Anbieter haben das Problem allerdings zügig behoben.

Welche Gefahr besteht durch das Leck?

Webseiten­betreiber nutzen OpenSSL, um Daten zu verschlüsseln, und sicher zwischen Nutzern und der Webseite zu trans­portieren. Das ist zum Beispiel wichtig beim Online-Banking, wenn Konto­informationen über­tragen werden. Auch beim Einkaufen im Netz, wo Kreditkarten­daten einge­geben werden, und bei E-Mailanbietern im Netz kommt die Technik zum Einsatz. Die Über­tragung funk­tioniert so, als würde man einen abge­schlossenen Trans­porter voller sensibler Informationen über die Auto­bahn schi­cken. Erst wenn die Information am Ziel ankommt, wird der LKW wieder aufgesperrt. Durch den Heart­bleed-Fehler konnte der digitale Schlüssel allerdings gelesen und beliebig kopiert werden. Dadurch hätte sich jemand Zugang zu den einge­gebenen und über­tragenen Konto­informationen, Kreditkarten­daten, Pass­wörtern oder den Inhalten von E-Mails verschaffen können.

Probleme werden sich in Zukunft häufen

Muss ich jetzt besonders auf meine Konto­bewegungen achten?

Ein gesundes Miss­trauen ist ohnehin schon immer geboten. Alle zwei bis drei Wochen Konto- und Kreditkartenbewegungen zu über­prüfen kann generell nicht schaden. Wenn bisher aber niemand ihre Daten miss­braucht hat und sie regel­mäßig ihr Pass­wort ändern, ist die Gefahr aber vermutlich kaum höher als sonst.

Wie kann ich mich vor Miss­brauch durch Heart­bleed schützen?

Falls Sie nicht regel­mäßig ihre Pass­wörter ändern, ist jetzt eine gute Gelegenheit auf sichere, neue Pass­wörter umzu­steigen. Die meisten Webseiten­betreiber haben zwar schnell auf die Gefahr reagiert, hat sich aber jemand die kritischen Daten und den Schlüssel für den Zugang kopiert, kann er weiterhin darauf zugreifen. Wichtig ist: Benutzen Sie nicht das gleiche Pass­wort für mehrere Seiten. Genau das wird ausgenutzt und macht eine E-Mail-Pass­wort-Kombination so wert­voll. Auf test.de können Sie nach­lesen, wie Sie ein sicheres Passwort finden.

Die Meldungen über Sicher­heits­lücken häufen sich. Kann man im Netz über­haupt sicher sein?

Man sollte sich von diesen gehäuften Schock­meldungen nicht aufschre­cken lassen. Im Internet besteht immer die Gefahr von Sicher­heits­lücken, wir müssen uns nur bewusst machen, wo wir uns bewegen. In jeder Software können Fehler stecken, von denen wir noch nichts wissen. Je mehr wir im Netz unterwegs sind und je mehr Daten wir produzieren, desto mehr Potenzial für Lecks und Lücken gibt es. Deshalb werden sich meiner Meinung nach diese Probleme in Zukunft häufen. Weil Lecks im Netz immer sofort Millionen Nutzer betreffen, eignen sie sich gut für dramatisch klingende Schlagzeilen.

Lang­fristige Sicher­heits-Strategien entwickeln

Wie können wir mit dem erhöhten Risiko im Internet umgehen?

Dieses erhöhte Risiko besteht schon lange. Seit wir ange­fangen haben Online-Shops und Online Banking zu nutzen. Jetzt erst kommen die entsprechenden Meldungen. Statt bei jedem neuen Problem in Panik zu verfallen, brauchen wir persönliche, lang­fristige Sicher­heits-Strategien im Netz, um das Risiko zu minimieren. Wenn ich ins Ausland in den Urlaub fahre und dort auf den Markt­platz gehe, wo viele Menschen sind, trage ich mein Portemonnaie auch nicht offen mit mir rum. Ich weiß um das Risiko von Taschendieben und trage mein Geld verdeckt, zum Beispiel in einer Brust­tasche. Wir müssen verstehen, dass das Internet genau so ein Markt­platz ist, auf dem sich immer mehr Menschen tummeln. Also müssen wir – wie im realen Leben – lernen, etwas besser aufzupassen.

Wie kann eine solche Sicher­heits-Strategie im Internet aussehen?

Der wichtigste Tipp für Sicherheit im Netz ist: Ändern Sie routine­mäßig jedes halbe Jahr ihr Pass­wort für wichtige Dienste. Am besten machen Sie sich eine Erinnerung in den Kalender. Der Heart­bleed-Fehler existiert bereits seit zwei Jahren. Wer in dieser Zeit regel­mäßig sein Pass­wort geändert hat, muss sich jetzt weniger Sorgen machen, dass seine Daten ausgelesen und miss­braucht wurden. Benutzen Sie sichere und für jeden Dienst einmalige Pass­wörter und ändern Sie diese regel­mäßig – Pass­wort-Ändern muss zur Routine werden

Was kann ich noch tun, um sicherer im Internet unterwegs zu sein?

Es hilft schon, zurück­haltend mit Konto-, Kreditkarten- und sons­tigen Informationen umzu­gehen. Wenn die Daten nur bei wenigen Anbietern hinterlegt sind, ist auch die Gefahr geringer, dass jemand dran kommt. Außerdem ist es immer notwendig eine aktuelle Antiviren-Software zu benutzen. Damit können Sie zwar das Auslesen von Daten bei Webanbietern nicht verhindern, aber Sie sichern ihr eigenes System gegen Angriffe von außen. Mehr dazu finden Sie in unserem aktuellen Test von Antiviren-Programmen.

Dieser Artikel ist hilfreich. 20 Nutzer finden das hilfreich.