Die kritische "Heartbleed"-Schwachstelle in der Verschlüsselungssoftware OpenSSL ist laut Berechnungen der österreichischen Sicherheitsexperten von Cert.at (Computer Emergency Response Team) auf mindestens 30.000 Websites mit .at-Endung vorhanden. Vermutlich seien aber weit mehr Websites davon betroffen, es handle sich um ein "relativ großes Problem." "Heartbleed" ermöglicht es, auf den Hauptspeicher des jeweiligen Systems zuzugreifen und im schlimmsten Fall können dabei heikle Userdaten wie etwa Passwörter ausgespäht werden.

Auch Endnutzer gefährdet

Die Sicherheitslücke war am Montagabend öffentlich gemacht worden und betrifft den laut Cert "wichtigsten Teil unserer Kryptographie". Der kritische Bug sorgt nicht nur für Probleme bei Website-Servern, sondern macht auch VPNs, Mailserver und Chatserver angreifbar. In weiterer Folge seien auch Daten von Endnutzern gefährdet, so Cert, etwa, wenn sich Passwörter auslesen ließen. Bei den Angriffen werden zwar nur kleine Datensätze in der Größe von 64 Kilobyte ausgelesen, jedoch können diese beliebig oft wiederholt werden. User sollten ihre Passwörter daher vorsorglich ändern.

Update verfügbar

In Österreich hat AnonAustria auf Lücken bei Webseiten der Wiener Börse, der Wiener Linien, der Tageszeitung "Die Presse" und der Sparkasse auf Lücken hingewiesen. Mittlerweile wurde ein Update veröffentlicht, dass das Sicherheitsloch ausmerzen soll. Sicherheitsexperten raten, das Update schleunigst zu installieren. Bei der Sparkasse hat man mittlerweile Updates installiert, so ein Sprecher zum webStandard. Er geht vorerst nicht davon aus, dass von AnonAustria veröffentlichten Daten reichen, um einen Schaden anzurichten.

Nachdem die erste fehlerhafte OpenSSL-Version laut bereits am 14. März 2012 veröffentlicht wurde, und nicht bekannt ist, ob die Schwachstelle nicht schon länger bekannt war und ausgenutzt wird, lässt sich das Ausmaß von "Heartbleed"-generierten Schäden nicht abschätzen. (fsc/APA, derStandard.at, 9.4.2014)