Skip to main content

Der kritische, weit verbreitete Heartbleed-Bug und Sie: Wie Sie Ihre privaten Daten schützen

Egal, wie sehr Sie versuchen, in Sicherheit zu bleiben, einige Aspekte der Sicherung Ihrer Online-Daten liegen völlig außerhalb Ihrer Möglichkeiten. Diese Tatsache wurde schmerzhaft offensichtlich am Montag, als das Internet mit seinen kollektiven Unterhosen gefangen wurde, dank einer kritischen Verwundbarkeit, die ein grundlegendes Werkzeug für sichere Online-Kommunikation betraf.

Heartbleed genannt, der Virus ist seit mehr als zwei Jahren in der Wildnis Jahre jetzt. Es ermöglicht Angreifern, einen kritischen Programmierfehler in OpenSSL auszunutzen - eine Open-Source-Implementierung des SSL / TLS-Verschlüsselungsprotokolls.

Wenn der Fehler ausgenutzt wird, leckt er Daten aus dem Speicher eines Servers, die SSL-Standortschlüssel, Benutzernamen und Kennwörter und sogar persönliche Benutzerdaten wie E-Mails, Instant Messages und Dateien enthalten können, so der finnische Codenomicon Firma, die zuerst Heartbleed in Zusammenarbeit mit einem Google-Forscher entdeckt hat.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das ist schlecht. Wirklich schlecht, obwohl es wichtig ist zu beachten, dass Heartbleed nur OpenSSL betrifft und nicht das Sicherheitsprotokoll selbst.

Aber aufgrund der Beliebtheit von OpenSSL bei Website-Administratoren ist die potentielle Anzahl betroffener Webseiten riesig. Das Internet- und Sicherheitsforschungsunternehmen Netcraft schätzt, dass Heartbleed ungefähr eine halbe Million "weithin vertrauenswürdige Websites" betrifft.

Yahoo hat bereits gesagt, dass Heartbleed den Bug trifft und Yahoo-Besitzer Tumblr empfiehlt Benutzern, ihre Passwörter so schnell wie möglich zu aktualisieren.

"Auf der Skala von 1 bis 10 ist dies [Heartbleed] eine 11", sagte der angesehene Sicherheitsexperte Bruce Schneier in seinem Blog.

Ja, dieser Bug ist ziemlich ernst und betrifft fast sicher mindestens eines Ihrer Online-Konten . Aber jetzt, wo wir die gruseligen Sachen aus dem Weg haben, lasst uns über einige der praktischen Maßnahmen sprechen, die du wissen musst.

Bleib ruhig und ...

Dank Hearbleed ist es möglich, dass einige skrupellose Schauspieler online Ihren Benutzernamen und Ihr Passwort haben können. Und Sie sollten definitiv Ihr Passwort auf jeder Seite ändern, die besagt, dass es betroffen ist.

Aber hier ist die Sache: Während OpenSSL bereits einen Fix zur Verfügung hat, ändern Sie Ihren Benutzernamen und Ihr Passwort vor eine Website Patches ihre Server erreicht nichts. In der Tat könnte es die Dinge noch schlimmer machen.

"Sie sollten das Passwort ändern, nachdem der Dienstanbieter seine Site gepatcht hat. Sonst tragen Sie nur zu den Daten bei, die gestohlen werden können", sagte uns Codenomicon-Sprecher Ari Takanen per E-Mail.

... don 't weitermachen

Heartbleed wurde am Montag veröffentlicht. Mittlerweile sollten sich viele Seiten durcheinander gebracht haben (oder krabbeln), um ihre Server zu patchen. Sie können herausfinden, ob eine Website noch von Heartbleed betroffen ist, indem Sie Online-Checker von LastPass, Qualsys oder Filippo Valsorda verwenden.

Wenn Sie feststellen, dass eine häufig verwendete Website immer noch von der Sicherheitsanfälligkeit betroffen ist, empfiehlt Codenomicon, freier Tag "von dieser Seite. Heartbleed macht nur Daten verfügbar, die im Speicher eines Servers (RAM) gespeichert sind. Dies ist kein Einbruch und lies den Fehler des Datenbanktyps. Ihre Daten müssen im Speicher des Servers gespeichert sein, wenn sie angegriffen werden.

Das ist ein Grund, warum das Ändern Ihres Passworts vor dem Patch einer Website schlimmer sein kann als gar nichts zu tun, besonders jetzt, wo Heartbleed öffentlich bekannt ist.

Andere Überlegungen

Sicherheitslücken wie diese sind auch eine gute Zeit für einige Erinnerungen daran, wie Sie Ihre Online-Konten am besten sichern.

Sie sollten die Zwei-Faktor-Authentifizierung für alle Ihre Konten, die sie anbieten, verwenden. Bei der Zwei-Faktor-Authentifizierung müssen Sie vor dem Zugriff auf Ihre Online-Konten einen zusätzlichen Code eingeben. Der Code wird normalerweise von einer Smartphone-App oder einem Schlüsselbund-Dongle generiert, Sie können jedoch auch Codes per SMS an Ihr Telefon senden.

Dieser zusätzliche Schritt erfordert, dass Angreifer wissen, wie Sie Ihren Zwei-Faktor-Authentifizierungscode generieren können, bevor sie sich bei Ihrem Konto anmelden können. Im Fall von Heartbleed war die Zwei-Faktor-Authentifizierung möglicherweise nicht so nützlich für die Verteidigung, aber im Allgemeinen hilft dieser zusätzliche Schritt, Ihren Account sicherer zu machen.

Verwenden Sie einen Passwort-Manager

Jetzt sollten Sie beginnen Verwenden Sie einen Passwort-Manager, vor allem, wenn Sie in den nächsten Tagen einige Benutzer-Logins ändern. Ein Passwort-Manager macht es leicht, randomisierte Passwörter mit einer Kombination aus Buchstaben, Zahlen und Sonderzeichen zu generieren. Es erleichtert Ihnen auch, sich jeden dieser übermäßig komplexen Codes merken zu müssen.

Password Manager sind oft mit anderen Funktionen ausgestattet, wie zum Beispiel sichere Notizen und AutoFill für Online-Formulare.

Es gibt viele Optionen für das Passwort Manager, aber einige unserer Favoriten sind LastPass, Dashlane und KeePass. LastPass hat kürzlich in einem Blogpost gesagt, dass es die Version von OpenSSL verwendet, die von Heartbleed betroffen ist; Da der Dienst jedoch Ihre Daten vor der Online-Übertragung verschlüsselt, gibt das Unternehmen an, dass seine Benutzer nicht gefährdet sind, ihre Daten den bösen Jungs zugänglich zu machen.

Heartbleed ist sicherlich ein böser kleiner Fehler, der ernst genommen werden muss. Aber wenn man bedenkt, dass es seit mehr als zwei Jahren in der Wildnis ist, gibt es nicht viel zu tun, außer dass die betroffenen Sites geduldig warten müssen, bevor sie ihre Passwörter ändern.

Sobald diese Seiten gepatcht sind, werden Sie es tun Ich möchte Ihr Passwort so schnell wie möglich ändern.