Eine Lücke in einer der wichtigsten Verschlüsselungsbibliotheken (OpenSSL) betrifft unzählige Benutzer des Internets direkt oder indirekt. Durch die Lücke kann ein Angreifer einen Teil des Speichers eines Servers auslesen, in dem sich die von Benutzern übertragenen Daten während einer kurzen Zeitdauer befinden, und damit Passwörter, Transaktionsdaten, aber auch Daten des Servers (beispielsweise private Schlüssel) stehlen.
Es sind nicht nur Mailprovider oder Finanzinstitute betroffen, sondern auch andere Webportale (Webshops, Krankenkassenportale, usw.), die ein verschlüsseltes Login anbieten und entsprechend verwundbare Software einsetzen. Es können aber auch nicht browserbasierte, verschlüsselte Dienste betroffen sein: Smartphone-Apps, Chatdienste (z.B. Jabber), Cloud-Speicher, Streaming-Dienste, Mail-Dienste, VPN-Zugänge etc., wie Melani, die Melde- und Analysestelle Informationssicherung des Bundes, am Mittwoch mitteilte.
Die Behörde steht in Kontakt mit Telekommunikationsfirmen, Finanzinstituten und weiteren Unternehmen, welche kritische Infrastrukturen betreiben. Viele Firmen haben ihre Systeme bereits mit den verfügbaren Sicherheitsfixes versehen oder sind dabei, dies zu tun.
Melani empfiehlt Serverprovidern dringend, innerhalb der nächsten 24 bis 48 Stunden das entsprechende Update einzuspielen und bei heiklen Diensten die Zertifikate und Zugangsdaten auszutauschen. Bei Diensten, bei denen die Anforderungen an Vertraulichkeit oder Integrität höher als die Anforderung an Verfügbarkeit sind, kann gemäss Melani ein temporäres Ausschalten der Dienste gerechtfertigt sein. Als Folgeschaden eines Angriffs müsse in Betracht gezogen werden, dass Zugangsdaten potenziell kompromittiert worden sind.
Für Endbenutzer ist es gemäss Melani sehr schwierig, sich zu schützen, ausser sie verzichten auf sämtliche heiklen Transaktionen im Internet, bis die jeweiligen Dienstleister die Lücke beseitigt haben. Es ist unbekannt, seit wann die Lücke ausgenutzt wird.
Da nicht ausgeschlossen werden kann, dass Daten, die in den vergangenen Wochen benutzt wurden, abgeflossen sein könnten, empfiehlt Melani für die Endbenutzer, alle Passwörter, welche für den entsprechenden Dienst (Surfen, E-Mail, Cloud-Dienste, VPN etc.) verwendet worden sind, zu ändern, sobald die Provider die Sicherheitslücke geschlossen haben. Weiter sollten für alle Dienste unterschiedliche Passwörter verwendet werden und allfällige Sicherheitsaktualisierungen auf Heimgeräten wie NAS-Speicher und Router eingespielt werden, sobald diese verfügbar sind.
