da blutet einem das HerzEs ist schon ein wenig ironisch, dass ausgerechnet ein Verfahren, welches eigentlich zur Sicherheit bei der Übertragung von Nutzerdaten konzipiert ist, durch eine eklatante Sicherheitslücke populär wird. Die Rede ist von Heartbleed, der Sicherheitslücke in der Server-Software OpenSSL, die sogenanntes Secure-http (https) und damit eine verschlüsselte Datenübertragung ermöglicht. Über diese gravierende Internet-Sicherheitslücke informierte u. a. der Spiegel neulich ausführlich und nun stellt sich jeder Nutzer verunsichert die Frage, inwieweit auch ihn das betrifft. Und das natürlich ganz zurecht, denn ein NSA-Skandal hat uns in jüngerer Vergangenheit sensibiliert und Datenklau sowie Aushorchenpraktiken im größten Umfang deutlich aufgezeigt. Und nachdem wir in letzter Zeit auch noch durch unzählige Aufforderungen seitens der Provider, unsere E-Mail-Programme doch endlich mal auf SSL umzustellen, sind wir an dieser Stelle noch aufmerksamer geworden. Selbst, wenn uns hier - und das ganz nebenbei angemerkt - mehr Sicherheit nur vorgegauckelt wird. Denn die Verschlüsselung betrifft lediglich den Weg der E-Mail vom Computer zum Postkasten des Providers oder umgekehrt. Die Auslieferung der E-Mail selbst vom Provider zum Empfänger geschieht in den allermeisten Fällen unverschlüsselt. Dafür müssten wir dann z.B. mit OpenPGP oder anderen Verschlüsselungsstrategien schon selber Sorge tragen.

Nun denn, jetzt werden zumindest Zugangsdaten und Passwörter verschlüsselt zum E-Mail-Server übertragen und können nicht mehr einfach so "mitgelesen" werden - immerhin. Und neuerdings haben wir ja auch häufiger mit dem Thema Passwort-Sicherheit und in dem Zusammenhang mit Passwortstärken zu tun bekommen und wer erst einmal Opfer z. B. einer gekaperten E-Mail-Adresse wurde, weiß, was es bedeutet, den Nachweis anzutreten, dass es sich um sein E-Mail-Konto handelt, welches Bösewichter gerade für Spamkanonaden und Schlimmeres missbrauchen. Heartbleed zeigt auf, dass sichere Passwörter eine Sache-, die Nutzungsdauer eines Passwortes eine andere Sache sind. Die Sicherheitslücke in openSSH hat leider beides stark relativiert, denn zum einen sind unzählige Passwörter samt ganzer Datensätze, die über https-Seiten übertragen wurden, möglicherweise in dunkle Kanäle geflossen und zum anderen interessiert die Passwortstärke hierbei auch gar nicht weiter, weil man die Datensätze unverschlüsselt kompromittieren konnte.

Der Großteil der Serverbetreiber hat dieses Loch längst gestopft und nun geht es daran, zur eigenen Sicherheit erstmal wieder alle Passwörter zu ändern. Und das am besten immer öfter! Mir hilft dabei inzwischen ein kleines und kostenloses Tool namens keepass. Man kann es sich auf seinen Stick laden und es als sicheren Safe für seine verschieden Zugangsdaten einrichten. Merken muss man sich nur noch das Masterpasswort vom Programm selbst und das kann und darf man sich getrost auch auf einen Zettel schreiben. Da kommen Hacker kaum ran. Dazu noch diese Link-Empfehlung: "Heartbleed: Warum wir alle einen Passwort-Manager brauchen." bei spiegel online.
Und will man ein bisschen "unbeobachteter" im Internet surfen, sollte man sich unbedingt mal den Tor-Browser von Mozilla (Firefox) ansehen, er lässt keine Wünsche offen. Viel Spaß beim Probieren!

Link: Heartbleed - der GAU für Verschlüsselung im Internet

 

Joomla "wookie mp3 player 1.0 plugin" by Sebastian Unterberg
 

Kommentare   

 
0 #1 OpenSSH NICHT betroffenLukas 2014-04-16 19:21
Kleiner Fehler in Deiner Bescheibung: OpenSSH ist NICHT von Heartbleed betroffen. Das Programm heißt OpenSSL. Auch wenn die Programme einen ähnlichen Namen haben: OpenSSH benutzt nicht die TLS Komponenten von OpenSSL, das heißt SSH-Key können mittels Heartbleed nicht mitgelesen werden! Einzig und allein TLS ist betroffen, also z.B. die Protokolle https, ftps (jedoch nicht sftp, da hier wiederum SSH verwendet wird). Bitte auch den Link korrigieren ;-)
Zitieren
 

Kommentar schreiben


Sicherheitscode
Aktualisieren