Sichere Passwörter, für jeden Login-Bereich ein anderes und die Passwörter regelmäßig ändern. Und wer (wie die Meisten) viele Passwörter zu verwalten hat, braucht ein Tool wie KeyPass oder LastPass, um den Überblick zu behalten.
Das sind auch genau die Konsequenzen, die man aus der Heartbleed Sicherheitslücke ziehen muss. Wir sagen es immer wieder. Auch in unserem Webinar für ö21 zum Thema Datensicherheit war es ein Thema.
Aber fangen wir von vorne an:
Was ist eigentlich passiert?
Am 08.04.2014 haben ein Mitglied des Google Sicherheitsteams und eine Software Sicherheitsfirma namens Codenomicon den sogenannten Heartbleed Bug gemeldet. Dabei handelt es sich um eine Schwachstelle in der weit verbreiteten OpenSSL Verschlüsselungs-Software-Bibiliothek. Über die Heartbleed Sicherheitslücke können Informationen, die eigentlich durch die SSL/TLS Verschlüsselung geschützt sind, ausgelesen und letztlich gestohlen werden.
Durch den Heartbleed Bug hat jeder in Internet die Möglichkeit, den Speicher der betroffenen Systeme auszulesen. Dadurch sind Verschlüsselungsmechanismen, die die Authentifizierung des Diensteanbieters ermöglichen betroffen Es betrifft auch die Verschlüsselung des Datenverkehrs, der Namen und Passwörter der Benutzer und den eigentlichen Inhalt des Servers. Kurz gesagt also alles, was auf dem Server liegt.
Potentielle Angreifer können damit die Kommunikation belauschen, Daten direkt aus den Diensten entwenden und sich als Benutzer oder Dienste ausgeben.
Betroffen ist davon eigentlich so gut wie das Ganze Internet. Soziale Netze, Email Provider, Online Shops, Android Apps. OpenSSL ist bei allen möglichen Diensten weit verbreitet und insgesamt im Internet sehr beliebt.
Auf heise online wird sehr gut, allerdings etwas technischer, erklärt, wie genau der Heartbleed Bug ausgenutzt werden kann. Vereinfacht stellt es auch dieses Comic dar.
Welche Konsequenzen müssen Sie daraus ziehen?
Sie als Benutzer müssen davon ausgehen, dass alle Ihre Passwörter im Onlinebereich betroffen sind. Wenn Sie diese Passwörter weiterverwenden, gehen Sie das Risiko ein, dass auch Dritte Zugang zu damit geschützten Informationen haben. Es gibt zwar Anbieter, die OpenSSL nicht verwenden. Trotzdem sollten Sie auch diese Passwörter ändern. Wenn Sie sowieso schon gerade dabei sind.
Bevor Sie ein Passwort ändern, sollten Sie aber zuerst prüfen, ob diese Internetseite (noch) von dem Heartbleed Bug betroffen ist. Erst wenn es hier Entwarnung gibt, macht es Sinn das Passwort zu ändern.
Und wenn Sie überall ein „Standardpasswort“ verwenden, sollten Sie jetzt sofort aufhören weiterzulesen und das unbedingt sofort ändern. Nur ein Passwort zu haben, ist das schlimmste und größte Sicherheitsrisiko überhaupt.
Sie sollten die Heartbleed Sicherheitslücke zum Anlass nehmen, alle Ihre Passwörter zu ändern. In sichere Passwörter. Und zwar wirklich alle. Facebook, Google, Dropbox, Von Sozialen Netzen, bis zum Online Banking über Online Shops – und natürlich auch Ihr Email Passwort.
Falls Sie sehr viele Onlinedienste verwenden, kann ein Tool wie LastPass oder KeePass bei der Verwaltung der Passwörter helfen.
Sie sollten sich angewöhnen, Ihre Passwörter zukünftig regelmäßig zu ändern. Das sollte sowieso mittlerweile Standard sein. Nutzen Sie den Heartbleed Bugals Anlass, das jetzt umzusetzen. Legen Sie sich einen wiederkehrenden Termin dafür an oder schreiben Sie es sich in einen Kalender. Es ist wichtig. Denken Sie daran.