"Heartbleed"-Lücke: BSI sieht Gefahr noch nicht gebannt

Von der am 7. April bekanntgewordenen Sicherheitslücke in der Open-SSL-Bibliothek, die auch als "Heartbleed-Bug" bezeichnet wird, droht immer noch Gefahr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht laut einer am Mittwoch veröffentlichten Erklärung "weiteren Handlungsbedarf". Durch Sicherheitsupdates sei die Schwachstelle zwar insbesondere bei vielen Webservern geschlossen worden und auch die Zertifikate wurden von den Betreibern entsprechend erneuert. Doch viele Webseiten von kleineren Online-Shops oder Vereinen seien noch für "Heartbleed"-Angriffe anfällig.

E-Mail-Server im Fokus von Angreifern

Das BSI registriere weiterhin großflächige Scans nach für "Heartbleed" verwundbaren Servern. Inzwischen würde der Fokus hier vor allem auf anfällige E-Mail-Server gelegt, da viele Betreiber zunächst ihre Webserver aktualisiert hätten. Das Bundesamt empfiehlt aktuell sowohl E-Mail-Server, Server für Video- und Telefonkonferenzen als auch weitere von außen erreichbare Server zu untersuchen.

Es solle überprüft werden, ob auf den Servern eine verwundbare OpenSSL-Version eingesetzt werde. Dieser Rat gelte auch beispielsweise für Firewalls. Die Analyse-Software OpenVas (Open Vulnerability Assessment System) könne Anwendungen auf eine Gefährdung durch die "Heartbleed"-Lücke überprüfen. SSL-Zertifkate von Servern, die verwundbar waren, sollten nach Angaben des BSI sicherheitshalber ausgetauscht werden.

Nutzer sollten Passwörter wechseln

Das BSI weist darauf hin, dass "Heartbleed" nicht zum gezielten Auslesen des Passwortes eines bestimmten Nutzers verwendet werden kann. Stattdessen erfolge der Angriff bei Ausnutzung der Lücke großflächig und ungezielt. Dennoch lassen sich Passwörter von Nutzern, die in einem betroffenen Dienst eingeloggt sind, leicht auslesen. Anwender sollten ihre Passwörter ändern, sobald der Betreiber der jeweiligen Webservices seine Systeme mit Sicherheitsupdates aktualisiert hat.