Das gerade von Google entdeckte und veröffentlichte Sicherheitsleck in der Verschlüsselungstechnik SSLv3 betrifft fast alle Browser und wurde „Poodle“ getauft. Auch wenn SSLv3 kaum noch benutzt wird: Angreifer können das Leck ausnutzen, indem sie SSLv3 erzwingen. Als Benutzer bemerkt man das nicht. Die beste Vorgehensweise ist daher: SSL einfach im Browser deaktivieren – dann kann auch nichts schief gehen.
Wer die veraltete Technologie SSLv3 im Browser abschaltet, kann schlimmstenfalls erleben, dass eine Webseite sich nicht mehr nutzen lässt. Das müsste aber eine mehr als fragwürdige Webseite sein, denn sie müsste eine längst überholte Technologie erzwingen. Ältere Browser wie Internet Explorer 6 bieten keine andere Möglichkeit der Verschlüsselung an, hier ist also ein Update erforderlich – aber das sowieso schon lange.
Web-Server unterstützen heute in der Regel mindestens TLS 1.0 für die Verschlüsselung der übertragenen Daten. Sollte ein Server diese Option nicht anbieten, empfiehlt es sich sowieso, einen großen Bogen darum zu machen.
Besoders einfach ist das Abschalten von SSLv3 in Firefox. Dort öffnet in der Adressleiste „about:config“ eingeben und nach „tls“ suchen und dort die Option „security.tls.version.min“ auf den Wert „1“ setzen. Der für den 25. November erwartete Firefox 34 wird das ohnehin machen.
Wer Chrome benutzt, muss etwas tiefer in die Trickkiste greifen. Der Browser muss mit der Option --ssl-version-min=tls1 gestartet werden, damit TLS im Browser erzwungen wird. Der bequemste Weg ist, einen entsprechenden Link auf dem Desktop anzulegen, der die Option enthält.
Aus Sicherheitsgründen nutzen viele Webseiten verschlüsselte Verbindungen über HTTPS. Nicht immer klappt das Herstellen einer Verbindung aber problemlos. Wie lassen sich solche Probleme lösen?
Wenn Sie sich zu einer SSL-Seite nicht verbinden können und Sie stattdessen nur eine Fehlermeldung von Internet Explorer, Chrome oder Firefox auf dem Bildschirm haben, sollten Sie als Erstes einen Blick auf Ihre System-Uhr werfen, und nötigenfalls korrigieren. Anschließend laden Sie die fragliche Seite neu – das Problem sollte sich erledigt haben.
Hintergrund: Beim Aushandeln der Verschlüsselung kommt auch die aktuelle Uhrzeit zum Einsatz. Stimmt sie nicht ungefähr mit der Serverzeit überein, verweigert der Browser die Verbindung.
Letzte Woche wurde eine schwere Sicherheitslücke in SSL-Verbindungen bekannt. Da der Fehler in einer weit verbreiteten Bibliothek enthalten war, sind viele Webseiten betroffen. Bei welchen Seiten sollten Sie Ihr Kennwort sofort ändern, um sicher zu bleiben?
Ändern Sie das jeweilige Kennwort, wenn Sie einen Account bei einer der folgenden Webseiten haben:
Facebook
„Wir haben OpenSSL bei Facebook gesichert, bevor der Fehler öffentlich bekannt wurde. Zeichen für verdächtige Konto-Aktivität wurden nicht gefunden, wir raten Nutzern aber zur Änderung des Kennworts.“
Instagram
„Unser Sicherheitsteam hat schnell an einem Fix gearbeitet, und wir haben keine Beweise, dass Account betroffen sind. Da dieser Vorfall viele Webdienste betrifft, raten wir Ihnen, Ihr Instagram-Passwort zu ändern, besonders wenn Sie das gleiche Kennwort bei mehreren Seiten nutzen.“
Pinterest
„Wir haben das Problem bei Pinterest.com behoben, und haben keinen Beweis für Missbrauch gefunden. Um auf Nummer sicher zu gehen, haben wir betroffene Nutzer per E-Mail angeschrieben und ihnen geraten, ihr Kennwort zu ändern.“
Tumblr
„Wir haben keine Beweise für einen Einbruch und unser Team hat, wie die meisten anderen Netzwerke, sofort Schritte zur Behebung des Problems unternommen.“
Google
„Wir haben die SSL-Lücke untersucht und Patches bei wichtigen Google-Diensten eingespielt.“ Suche, Gmail, YouTube, Wallet, Play, Apps und App Engine waren betroffen, Google Chrome und Chrome OS waren nicht betroffen.
Yahoo
„Sobald uns das Problem bekannt wurde, haben wir an der Lösung gearbeitet… und arbeiten weiterhin daran, das Loch bei unseren restlichen Seiten zu stopfen.“
Dropbox
„Wir haben alle unsere für Nutzer sichtbaren Dienste gepatcht und arbeiten weiterhin daran, dass Ihre Daten immer sicher bleiben.“
WordPress
„Auf WordPress.com wurde die betroffene OpenSSL-Version ausgeführt. Wir haben alle unsere Server binnen weniger Stunden nach Bekanntwerden der Lücke korrigiert.“
Aufgrund des Heartbleed-Bugs müssen dieser Tage alle betroffenen Webserver-Betreiber ihre SSL-Zertifikate erneuern. Dazu braucht man eine Anfrage-Datei und einen privaten Schlüssel. Die Anfrage-Datei reicht man dann beim SSL-Anbieter ein und erhält nach Bezahlung das Zertifikat zurück. Wie erstellen Sie eine solche Anfrage?
Am einfachsten gelingt das Erstellen einer CSR-Anfrage und des nötigen privaten Schlüssels auf einem Linux-Server per OpenSSL. Stellen Sie als Erstes sicher, dass Sie OpenSSL 1.0.1g oder neuer verwenden. Mit dem folgenden Befehl erstellen Sie dann eine Zertifikats-Anfrage (in einer einzigen Zeile):
Im Anschluss werden verschiedene Angaben abgefragt, etwa der Name der Webseite (Common Name). Die Schlüsseldatei und die Anfrage-Datei („server.csr“) liegen nun im aktuellen Ordner und können, etwa per „cat server.csr“, angezeigt werden.
Diese Woche hat eine schwerwiegende Sicherheitslücke in der OpenSSL-Bibliothek Schlagzeilen gemacht. Tausende Webseiten und Server waren betroffen und mussten nicht nur die Lücke schließen, sondern auch ihre Sicherheits-Zertifikate neu ausstellen lassen. Ob Ihr Server auch verwundbar ist, klärt ein Schnelltest.
Unter der Adresse https://filippo.io/Heartbleed/ finden Sie den Sicherheitstest. Mit ihm testen Sie einen beliebigen Webserver, ob die Sicherheitslücke dort vorhanden ist. Geben Sie zu Testzwecken doch mal die Adresse Ihrer Bank (ohne „https://“) oder Ihres eigenen Webservers ein und sehen sich das Ergebnis an. Wird der Bug dort gefunden, muss der Betreiber schnellstmöglich Maßnahmen ergreifen.
Nutzen Sie einen Linux-Server, lässt sich der Heartbleed-Bug mit den automatischen Updates Ihrer Distribution schließen. Je nach System rufen Sie dazu in einer Kommandozeile (etwa per SSH) den Befehl yum upgrade (CentOS) oder apt-get update; apt-get upgrade (Debian, Ubuntu) auf. Anschließend das Neu-Erzeugen der SSL-Zertifikate nicht vergessen.
Normalerweise gelten Datenverbindungen, die per SSL verschlüsselt werden, als ausgesprochen sicher. Sender und Empfänger tauschen ihre Daten verschlüsselt aus. Abhören unmöglich, so das Konzept. Doch jetzt das: Experten haben ein erhebliches Sicherheitsleck in OpenSSL entdeckt. Hacker können über das Sicherheitsleck in Computer einbrechen und dort nicht nur die Schlüssel stehlen, sondern auch Daten aus dem Speicher auslesen. Benutzernamen, Passwörter, Kreditkartendaten, sensible Daten – alles, was man aus gutem Grund verschlüsselt, steht den Cyberdieben dann im Klartext zur Verfügung.
Ein absoluter GAU, denn OpenSSL wird nahezu überall eingesetzt. Web-Server, Datenbanken, E-Mail-Programme, Bank-Software: Viele Programme verwenden OpenSSL, um sichere Datenverbindungen zu ermöglichen. Es gibt zwar Alternativen, aber OpenSSL ist besonders beliebt, weil eigentlich sehr stabil, verlässlich und OpenSource, also kostenlos verfügbar.
Betroffen ist ausnahmslos jeder, der das Internet nutzt. Denn OpenSSL kommt ständig zum Einsatz: Beim Login, beim Übertragen sensibler Daten, bei der Fernsteuerung eines anderen Rechners – OpenSSL ist garantiert im Einsatz. Egal, ob man mit PC, Tablet, Smartphone oder Smart-TV online geht.
Das Sicherheitsproblem ist längst gestopft. Jetzt muss aber überall, wo OpenSSL verwendet wird, das Update eingespielt werden, in jeder einzelnen Software. Das kann dauern, bis das Sicherheitsleck überall gestopft ist. Selbst prominente Seiten hatten das Sicherheitsproblem, und nicht alle haben schnell reagiert und das Leck gestopft.
Internetbenutzer müssen in den nächsten Tagen auch ihre Software aktualisieren, etwa Betriebssystem, Browser, E-Mail-Software oder Banking-Programme. Auch Smartphones werden aktualisiert werden müssen. Da kommt was auf die Benutzer zu. Außerdem sollte man die Passwörter der wichtigsten Onlinekonten erneuern.
In der OpenSSL-Bibliothek, die von Webseiten verwendet wird, um Daten verschlüsselt auszutauschen, wurde eine Sicherheitslücke entdeckt. Unter dem Namen „Heartbleed“ bekannt, sorgt diese Lücke momentan für große Probleme im Netz.
Denn jede betroffene Webseite muss
die OpenSSL-Bibliothek auf den neusten Stand bringen,
danach alle Sicherheits-Zertifikate erneuern lassen, und
alle Nutzer zum Ändern ihrer Kennwörter auffordern.
Das sollte so schnell wie möglich passieren,
bevor die Lücke aktiv ausgenutzt werden kann.
Das Web.de-Freemail-Postfach lässt sich nicht nur per Browser nutzen, sondern auch mit einem Mail-Programm, wie etwa Outlook. Damit Mails nicht beim Übertragen von anderen abgegriffen werden, muss die Verbindung verschlüsselt sein. Wie aktivieren Sie die Verschlüsselung für Ihr Web.de-Postfach in Outlook?
In Outlook 2010 und 2013 gehen Sie wie folgt vor, um das Web.de-Mail-Konto auf SSL-Verschlüsselung zu schalten:
Starten Sie Microsoft Outlook, und klicken Sie auf „Datei, Kontoeinstellungen, Kontoeinstellungen…“.
Als Nächstes doppelklicken Sie in der Liste der Mail-Konten auf den Web.de-Account.
Öffnen Sie jetzt per Klick auf „Weitere Einstellungen“ die erweiterten Optionen.
Schalten Sie nun zum Tab „Erweitert“, und setzen Sie ein Häkchen bei „Server erfordert eine verschlüsselte Verbindung (SSL)“. Der Port ändert sich daraufhin zu „995“.
Beim Postausgangsserver markieren Sie als Verschlüsselung die Option „TLS“ und ändern den Port manuell auf „587“.
Mit „OK“, „Weiter“ und „Fertig stellen“ werden die Änderungen gespeichert.
