In der OpenSSL-Bibliothek, die von Webseiten verwendet wird, um Daten verschlüsselt auszutauschen, wurde eine Sicherheitslücke entdeckt. Unter dem Namen „Heartbleed“ bekannt, sorgt diese Lücke momentan für große Probleme im Netz.
Denn jede betroffene Webseite muss
die OpenSSL-Bibliothek auf den neusten Stand bringen,
danach alle Sicherheits-Zertifikate erneuern lassen, und
alle Nutzer zum Ändern ihrer Kennwörter auffordern.
Das sollte so schnell wie möglich passieren,
bevor die Lücke aktiv ausgenutzt werden kann.
Freitag (21.02.14) hat Apple vor einem Sicherheitsleck in seiner Betriebs-Software iOS 6 und iOS 7 sowie in Mac OS X 10.9 gewarnt. Ein Programmierfehler führt dazu, dass eine eigentlich abgesicherte Datenverbindung (https://) unter Umständen nicht wirklich vertrauenswürdig ist. Durch den Fehler ist es möglich, dass Betrüger eine vertrauensvolle Gegenstelle simulieren, um den Betroffenen auszuspionieren.
Das entdeckte Sicherheitsleck ist schwerwiegend. Angreifer können die Lücke ausnutzen, um in einem offenen WLAN dem Apple-Gerät eine sicherere Gegenstelle vorzugaukeln. Dabei können dann Zugangsdaten abgegriffen werden, etwa bei der Anmeldung bei Apple, Twitter, Dropbox, Facetime oder anderen Onlinediensten.
Diese Logindaten werden teilweise sogar unbemerkt übertragen, etwa wenn man spezielle Software nutzt, um auf diese Daten zuzugreifen. Viele Programme nutzen die im Betriebssystem verankerte Funktion, die den Fehler aufweist, deshalb sind auch so viele Apps und Programme betroffen. Theoretisch könnten Angreifer auch E-Mails abfangen oder umleiten, sie könnten Trojaner ins System einschleusen und vieles andere mehr.
Apple-Benutzer sollten sofort ein Update einspielen. Für Mobilgeräte steht bereits ein Update mit der Versionsnummer 7.0.6 zur Verfügung. Sofern noch nicht geschehen, sollte das Update unverzüglich geladen und installiert werden. Für Apple Macintosh (Mac OS X 10.9) steht bislang noch kein Update zur Verfügung. Sobald Apple dieses fertiggestellt hat, sollte auch das geladen und installiert werden. Bis dahin gilt: Öffentliche WLANs in Cafés, Flughäfen, Bahnhöfen oder Zügen meiden. Hier ist die Gefahr am größten, dass das Sicherheitsleck ausgenutzt wird. Wer einen Apple Macintosh nutzt, sollte definitiv nicht Apple Safari zum Browsen verwenden, sondern alternative Browser wie Firefox oder Chrome. Beide verwenden nicht die Systemfunktionen und können daher auch in keine Falle tappen. Diese Browser sind derzeit zu bevorzugen.
Der fehlerhafte Programmcode von Apple ist hier öffentlich zugänglich. Deutlich zu erkennen ist die wiederholte Anweisung goto fail; Sieht unscheinbar aus, sorgt aber dafür, dass die Sicherheitszertifikate nicht korrekt überprüft werden. Apple-Nutzer können auf dieser Seite prüfen, ob ihr Browser von der Sicherheitslücke betroffen ist.
Als Webentwickler installiert man gerne zum Testen einen lokalen Webserver, wie Apache oder Microsoft IIS. Wer anschließend Probleme hat, den neuen Webserver zu starten, sollte sich vergewissern, dass kein anderes Programm den http-Port 80 belegt. Der Übeltäter könnte das beliebte Skype sein.
Denn für Sprachübertragungen weicht Skype standardmäßig auch auf den Port 80 aus, auf dem normalerweise Webserver lauschen. Skype verwendet die Ports 80 und 443, damit allzu scharf gestellte Firewalls die Kommunikation erlauben.
Um das Lauschen von Skype auf Port 80 und 443 abzuschalten, Skype starten.
Auf „Aktionen, Optionen“ klicken.
Zum Tab „Erweitert, Verbindung“ wechseln.
Den Haken entfernen bei
„Ports 80 und 443 als Alternative für eingehende Verbindungen verwenden“.
Auf „Speichern“ klicken, fertig! Nach einem Neustart von Skype werden die beiden Ports freigehalten. Ein eventueller Webserver sollte sich nunmehr starten lassen.
Facebook überträgt die Daten vom und zum eigenen Rechner in der Regel unverschlüsselt. Das bedeutet in der Praxis: Andere Netzwerkrechner (etwa der Arbeitgeber) können die Facebook-Kommunikation „mithören“. Wer die Facebook-Verbindungen sicherer machen möchte, kann mit wenigen Mausklicks auf die SSL-verschlüsselte Variante umschalten.
Damit beim Surfen auf Facebook automatisch eine verschlüsselte Verbindung aufgebaut wird, bei Facebook einloggen, oben rechts auf den Pfeil neben „Startseite“ klicken und den Befehl „Kontoeinstellungen“ aufrufen. In den Bereich „Sicherheit“ wechseln und in der Zeile „Sicheres Durchstöbern“ auf „Bearbeiten“ klicken. Dann die Option „Facebook mithilfe des sicheren Durchstöberns (https) verwenden, falls möglich“ ankreuzen und auf „Änderungen speichern“ klicken. Jetzt lässt sich der Facebook-Datenstrom nicht mehr „anzapfen“, da die Kommunikation zwischen Browser und den Facebook-Servern verschlüsselt stattfindet – erkennbar am Zusatz „https“ (wichtig ist das „s“) und dem Schlosssymbol in der Adressleiste.
Wer was bei Google sucht, lässt sich von anderen leicht herausfinden. Da alle Sucheingaben unverschlüsselt erfolgen, kann zum Beispiel nicht nur Google selbst, sondern auch der Internetprovider die Suchanfragen belauschen. Wer das nicht möchte, kann mit einem Trick verschlüsselt suchen.
Damit alle Suchanfragen und die Suchergebnisse nur in verschlüsselter Form übertragen werden, muss die Google-Suche über folgende Webadresse aufgerufen werden:
Das „s“ in „https“ sorgt für eine verschlüsselte und damit sichere Verbindung. Der Zusatz „SSL“ über dem Google-Logo verdeutlicht zusätzlich, dass alle Daten verschlüsselt übertragen werden. Auch die Treffer werden verschlüsselt übertragen. Das ist ebenfalls erkennbar an der Spezialadresse „https://encrypted.google.com“ in der Adresszeile des Browsers. Der Vorteil: Suchbegriffe und Ergebnisseiten können auf dem Weg zwischen dem eigenen Rechner und den Google-Servern nicht mehr belauscht werden. Google selbst erfährt natürlich weiterhin, wonach gesucht wurde.
Wer eine Online-Textverarbeitung wie Google Text und Tabellen nutzt, sollte die Risiken kennen. Bedenklich: Da alle Daten bei Googles Online-Office unverschlüsselt übers Web übertragen werden, lassen sich sämtliche Eingaben und Änderungen auf dem Weg zwischen eigenem Rechner und den Google-Servern belauschen. Mit einem Trick wird alles sicher verschlüsselt.
Wie für viele andere Google-Dienste gibt es auch für Google Text & Tabellen einen verschlüsselten Zugang. Hierzu die Webseite docs.google.com über die https-Adresse (wichtig ist das s bei https) aufrufen, also über die Adresse
Im Browser erscheint in der Adresszeile zusätzlich ein Schloss-Symbol. Das signalisiert: Alle Daten zwischen dem eigenen und dem Google-Rechner werden ausnahmslos über eine verschlüsselte Verbindung übertragen. Wer die Daten abhört, erhält nur ein eine Folge zusammenhangloser Buchstaben und Zeichen.
PC-Experten weisen darauf hin, dass Web-Formular mit persönlichen Daten nur verschlüsselt über die Leitung gehen sollen, erkennbar am Buchstaben „s“ in „https“ in der Adresszeile. Allerdings zeigt https nur, dass die Formularseite mit den Eingabefeldern verschlüsselt übertragen wurde. Doch was ist, wenn das Formular abgeschickt wird. Wird dann immer noch verschlüsselt? Das verrät ein Blick in den Quelltext.
Wer sicherstellen möchte, dass alle eingegeben Daten auch wirklich per https übertragen werden, klickt mit der rechten Maustaste auf die Webseite und wählt den Befehl „Quellcode anzeigen“. Anschließend im Quelltext nach folgender Zeichenfolge suchen:
method=“post“
und bei den dahinter stehenden Kommandos prüfen, ob die im Bereich „target=“ angegebene Adresse (dahin werden die Formulardaten geschickt) ebenfalls mit „https://“ (und nicht nur mit „https://“) beginnt. Nur dann werden die Formulardaten verschlüsselt übertragen.
Für Firefox-Anwender gibt es übrigens das Plug-In „Web Developer“ (https://addons.mozilla.org/de/firefox/addon/60), das mit dem Befehl „Formulare | Formulardetails einblenden“ die Zieladresse (und weitere Informationen) im Browserfenster anzeigt und wichtige Passagen gelb hinterlegt.
Webmailer wie Google Mail sind nicht ohne. Da der gesamte Mailverkehr übers Web abgewickelt wird, lassen sich die Nachrichten relativ leicht abhören. Vor allem, wenn eine unverschlüsselte Verbindung verwendet wird. Sicherer wird’s, wenn immer und ohne Ausnahme verschlüsselt wird.
Ob die Verbindung zum Google-Server verschlüsselt ist oder nicht verrät ein Blick in die Adresszeile. Steht dort „https“ ist alles sicher – das „s“ steht hier für „secure“, also verschlüsselt und sicher. Fehlt das „s“ und steht in der Adresse nur „http“, gehen die Daten im Klartext über die Leitung. Wer das nicht möchte, kann Google Mail dazu bringen, nur verschlüsselte Verbindungen zu nutzen.
Dazu ins Google-Mail-Konto einloggen und oben rechts auf „Einstellungen“ klicken. Anschließend im Register „Allgemein“ in der Zeile „Browserverbindung“ die Option „Immer https verwenden“ aktivieren und ganz unten auf „Änderungen speichern“ klicken.
