Sicherheitsexperten entdeckten einen Open-SSL-Bug (Heartbleed), der zu den wohl schwerwiegendsten Sicherheitslücken im Netz gehören dürfte. Dabei handelt es sich um eine Sicherheitslücke in der Verschlüsselungs-Software OpenSSL, die von zahlreichen Webseiten verwendet wird.

Normalerweise soll OpenSSL dafür sorgen, Informationen wie Passwörter und E-Mail-Inhalte zu verschlüsseln, doch Datendiebe konnten das umgehen und somit die Kommunikation ausspionieren. Experten sprechen hier von einem Super-Gau, zumal die Lücke bereits seit zwei Jahren existiert und wahrscheinlich so lange auch schon von Kriminellen ausgenutzt wurde.

Sobald die Lücke von einem Seitenbetreiber geschlossen wurde, sollten User ihr Passwort ändern. mashable veröffentlichte eine Liste der poplärsten Webseiten und gab dabei auch an, ob man hier das Passwort wechseln sollte.

Dazu gehören Webseiten wie Facebook, Tumblr, Google, Gmail, Yahoo / Yahoo Mail, Dropbox, SoundCloud und Wunderlist. Google teilte zwar mit, dass Nutzer ihre Passwörter nicht ändern müssen, mashable rät jedoch dazu, weil der Konzern die Lücke bestätigt habe.

Unter diesem Link finden sich zudem zahlreiche Webseiten, die nach wie vor anfällig sind. Dazu gehören flickr, einige Steam-Webseiten von Valve und viele weitere bekannte Anlaufstellen im Netz. Unter filippo.io/Heartbleed lässt sich prüfen, ob eine Webseite gefährdet ist. Einige bekannte Namen sind inzwischen von der Liste verschwunden, darunter etwa web.de.

Wer von euch einen Webserver oder E-Mail-Server betreibt, sollte schleunigst die neue Version von OpenSSL installieren, um die Lücke zu schließen. Ratsam ist hier allerdings, so empfiehlt es das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Schlüssel inklusive der zugehörigen Zertifikate auszutauschen. Denn bereits erbeutete Schlüssel können von den Kriminellen weiter verwendet werden.