Etwa vier Monate ist es her, dass die schwerwiegende "Heartbleed"-Lücke bekannt geworden war. Hunderttausende Server waren damit angreifbar. Auch in Österreich waren zahlreiche Systemen von Banken bis hin zu Ministerien betroffen. Rund 100 Tage danach hat das österreichische Computer Emergency Response Team (CERT.at) Resümee gezogen. Die heimischen Server sind demnach Größtenteils sicher. Und zusammen mit den Enthüllungen durch Edward Snowden hatte die "Heartbleed"-Lücke zur Folge, dass die Öffentlichkeit nun mehr Augenmerk auf Verschlüsselung legt.

Knapp 700 Anbieter gewarnt

Bei der "Heartbleed"-Lücke handelt es sich eigentlich um einen simplen Programmierfehler in der Verschlüsselungssoftware OpenSSL. Im schlimmsten Fall könnten Angreifer darüber Passwörter auslesen. Aufgabe der internationalen CERTs ist es in solchen Fällen herauszufinden, welche Server anfällig sind und die Betroffenen zu informieren. Bis zum 6. August hat das österreichische Team diesbezüglich 4.366 Meldungen an 694 Internet Service Provider versendet.

1,2 Millionen Domains gescannt

Im Rahmen von Domain-basierten Scans hat das Team rund 1,2 Millionen Domains der .at-Zone auf ihre "Heartbleed"-Anfälligkeit überprüft. Unter den Servern, die SSL-Verschlüsselung unterstützen, waren Ende Juli gemessen an IP-Adressen nur mehr 1,31 Prozent der https- und 1,28 Prozent der SMTP-Server anfällig.

Problem bei kleineren Unternehmen

Die Analysen haben ergeben, dass große Provider und Diensteanbieter schnell reagiert haben. Professionell betreute Webserver wurden rasch aktualisiert. Anders sieht es bei "Hobby"-Webservern, Servern in kleinen und mittelständischen Unternehmen oder Vereinen aus. Ein Problem. Denn beispielsweise ein vom Buchhalter betreuter, verwundbarer Web- oder Mailserver eines kleinen Hotels in Österreich kann auch von Cyberkriminellen infiltriert werden und so Angriffe auf Dritte ausführen, warnt Otmar Lendl von CERT.at.

Verschlüsselung im Kommen

Immerhin haben "Heartbleed" und die Enthüllungen der NSA-Spionage einen positiven Nebeneffekt: Verschlüsselung wird nun höher denn je geschrieben. Dass allerdings immer noch Aufholbedarf besteht, zeigen Zahlen der Universität Wien. Mit täglich rund 125.000 Mails ist die Uni Wien selbst einer der größeren Mailprovider in Österreich. Von den ausgehenden Mails des Unisystems werden den Erhebungen zufolge aktuell (Stand Mai) 70 Prozent verschlüsselt übertragen (TLS). Eingehend sind es 43 Prozent. Im Mai 2013 waren es erst 40 Prozent der ausgehenden und 33 Prozent der eingehenden Mails.

Bei anderen großen Providern in Österreich dürfte das ähnlich aussehen. Einen großen Unterschied gibt es allerdings bei den Anbietern. Einige verschlüsseln demnach den gesamten Mailverkehr, bei anderen ist es nur ein geringer Teil. Um wen es sich dabei handelt, wird jedoch nicht bekannt gegeben.

BetterCrypto

Um noch mehr in den Köpfen zu verankern, wie wichtig Verschlüsselung ist, wurde Ende 2013 das OpenSource-Projekt BetterCrypto gestartet. Dabei wird von Experten ein Leitfaden für Systemadministratoren erstellt, wie sie ihre Web- und Mailserver verschlüsseln können. Von Tipps für Sicherheitstests über verschiedene Verfahren bis hin zu praktischen Einstellungen. Ein Review-Prozess soll sicherstellen, dass Fehler vermieden werden. Für Mitautor Pepi Zawodsky steht fest: "Wer nicht verschlüsselt macht sich zum Freiwild für's Abhören." Selbst schlechte Verschlüsselung sei besser als gar keine und würde es Geheimdiensten erschweren an Daten zu gelangen.

Cryptopartys für Privatnutzer

Privaten Nutzern werden indes Cryptopartys empfohlen, wo Verschlüsselung und andere IT-Sicherheitsthemen erklärt werden. Termine werden etwa über Cryptoparty.at bekannt gegeben. Empfehlungen welche Messaging-Apps oder Verschlüsselungs-Tools Privatnutzer verwenden sollen, kann CERT.at indes nicht aussprechen. Dafür fehlen die Ressourcen. (Birgit Riegler, derStandard.at, 7.8.2014)