Während sich die Heartbleed-Krise wieder gelegt hat, fragen sich viele Internetnutzer, was sie tun sollten, um ihre persönlichen Daten zu schützen. Grundsätzlich war jeder, der das Internet nutzt, betroffen und es hatte jeder etwas dazu zu sagen. Es sind jede Menge Informationen im Umlauf und es bleibt viel Raum für Verwirrung. Um dieses Problem zu lösen, haben wir ein paar klare Tipps zum Umgang mit Heartbleed für Sie zusammengestellt.
Umgang mit Heartbleed
Die Menschen sorgen sich um ihre Passwörter. Die Heartbleed-Schwachstelle erlaubt es Angreifern, Passwörter aus dem Speicher eines Servers zu stehlen. Um dieses Problem zu beheben, müssen Sie zunächst feststellen, ob die betroffene Website weiterhin für Heartbleed anfällig ist. Das können Sie über folgende Website herausfinden: http://filippo.io/Heartbleed/. Wenn die Website immun gegen Heartbleed ist, sollten Sie Ihr Passwort ändern. Wenn die Website noch für Heartbleed anfällig ist, sollten Sie das Passwort nicht ändern. Denn würden Sie ein Passwort auf einer Website ändern, die noch anfällig ist, wird das Problem damit nicht behoben. Vielmehr sollten Sie, wenn Sie ein Konto auf einer Website haben, die noch für Heartbleed anfällig ist, sich nicht mehr in dieses Konto einloggen, bis Sie wissen, dass die Schwachstelle behoben wurde.
Aktivieren Sie die Two-Factor-Authentifizierung (TFA). Diese Funktion sorgt dafür, dass jeder, der sich von einem entfernten Standort aus in eines Ihrer Konten einloggt, ein Passwort UND einen eindeutigen Code angeben muss, der an Ihr registriertes Konto gesendet wurde. Heartbleed mag zwar zwei Jahre lang in freier Wildbahn existiert haben, aber das Gute ist, dass jedes TFA-aktivierte Konto immun war – auch wenn das Passwort gefährdet war. Wenn Sie TFA ab sofort aktivieren, können auch zukünftige Bedrohungen entschärft werden.
Achten Sie auf E-Mail-Betrügereien. Cyberkriminelle nutzen bereits das Heartbleed-Pandämonium, um Benutzer zu betrügen, die zu Recht um ihre Online-Sicherheit besorgt sind. Ein Versuch wurde von einem Sicherheitsforscher bei SANS abgefangen. Laut Service-Anbietern ist es wahrscheinlich, dass in den kommenden Tagen viele weitere Versuche folgen werden. Um zu vermeiden, dass Sie Opfer eines Phishing-Betrugs werden, ist es daher wichtig, dass Sie allen Anfragen für Passwortänderungen mit Vorsicht begegnen. Wenn eine E-Mail einen Login-Link enthält, klicken Sie diesen nicht an. Navigieren Sie stattdessen selbst auf die Website und loggen Sie sich direkt dort ein.
Wie sieht es mit privaten Schlüsseln aus? Die Heartbleed-Schwachstelle erlaubt es Angreifern, bis zu 64 kb aus dem Arbeitsspeicher eines Servers zu stehlen. Das bedeutet, dass alles, was sich zur Zeit des Angriffs im Arbeitsspeicher befindet, vom Angreifer abgefangen werden kann. Dieser beinhaltet den kryptographischen privaten Schlüssel eines Servers, also das Element, dass einem Web-Service den Zugriff auf Ihre verschlüsselten Daten gewährt. Das alarmierendste Problem in Bezug auf Heartbleed ist die Tatsache, dass er bereits seit über 2 Jahren in freier Wildbahn war, und keiner weiß, ob er in dieser Zeit genutzt wurde. Falls ja, heißt das, dass ein Angreifer einen privaten Schlüssel gestohlen und zum Zugriff auf verschlüsselte Daten genutzt haben kann. Der einzige Weg, dieses Problem 100%-ig zu lösen, besteht leider darin, dass jeder einzelne Service-Anbieter, der in den letzten zwei Jahren die betroffenen Versionen von OpenSSL genutzt hat, einen neuen privaten Schlüssel erlangen muss. Wenn man bedenkt, dass 2/3 des Internets von diesem Bug betroffen waren, kann dies eine geraume Zeit dauern.
Ist Heartbleed immer noch ein Problem? Forscher der Universität von Michigan haben berichtet, dass etwa 3,7% der Alexa Top 1 Millionen-Websites am 9. April 2014 um 16:00 noch anfällig für Heartbleed waren. Alles in allem ist dies eine ziemlich beeindruckende Reaktionszeit, die durch fleißige Systemadministratoren weltweit erzielt werden konnte.
Das gewaltige Ausmaß und die Reichweite von Heartbleed haben gezeigt, dass unser Internet keineswegs perfekt ist. Der alarmierendste Punkt ist wahrscheinlich, dass der allgegenwärtige Bug rein gar nichts mit Malware zu tun hat. Für Heartbleed benötigen Cyberkriminelle keine Malware – sie können einfach hereinspazieren, sich nehmen, was sie wollen, und ohne eine Spur zu hinterlassen wieder gehen. Heartbleed hat uns gezeigt, dass selbst die besten Schlösser geknackt werden können, und dass ein Internet, indem jeder dasselbe grundlegende Sicherheitssystem nutzt, extrem anfällig für Ausbeutungen ist, auch wenn es sich leichter pflegen lässt. Für diejenigen, die an der IT-Infrastruktur beteiligt sind, bedeutet das, dass die Internetsicherheit in ihrem Kern neu überdacht werden muss. Dem Rest von uns legt der Bug vielleicht nahe, dass der wirksamste Ansatz zur Internetsicherheit der Minimalismus im Internet ist: Teilen Sie nur die Informationen, die Sie wirklich teilen wollen.
Wir wünschen einen guten (Malware-freien) Tag!