Sicherheits-GAU bei der SSL-Verschlüsselung
Jetzt kam es wirklich dicke. Ein trivialer Programmierfehler in der Verschlüsselungssoftware OpenSSL bringt erdbebengleich die Sicherheitslandschaft ins wanken. Heartbleed, ist der Name für eine Sicherheitslücke, die schon seit rund zwei Jahren bestehen soll. Wer diese Lücke kennt, ist in der Lage, scheinbar sichere Zugänge für seine Zwecke zu nutzen. Die https-Verschlüsselung von Internetseiten, wichtig z.B. bei Bankgeschäften, ist dann nur noch Makulatur. Betroffen sind möglicherweise hunderttausende Internetseiten. Alle großen Dienstleister versuchen nun mit schnellen Updates die Lücke zu schließen.
Kein Vertrauen mehr in OpenSSL dank Heartbleed-Bug
Ein fast poetischer Name für ein aktuelles Übel ist der Heartbleed-Bug. OpenSSL ist das erste nach FIPS 140-2 zertifizierte Open-Source-Programm. Das bedeutet, es wurde ihm in den USA ein hoher Sicherheitsstandard für Kryptographische Module attestiert. Bisher konnte man fast gedankenlos darauf vertrauen. Das scheint derzeit Schnee von gestern zu sein.
Der Heartbleed-Bug ermöglicht es einem Angreifer einen Teil des Hauptspeichers der Gegenstelle (Internetseite) auszulesen. Damit ist es möglich den privaten Schlüssel des Serverzertifikats, Benutzernamen und Passwörter auszulesen. Das Ziel einer SSL-Verbindungen ist es, die Übermittlung von Daten zwischen dem eigenen Computer und der besuchten Webseite abhörsicher zu ermöglichen. Eine SSL-Verschlüsselung, in die bisher großes Vertrauen gesetzt werden konnte, ist nun kritisch zu betrachten. Ob dieser Fehler schon vorher genutzt wurde, um Daten auszuspähen, ist bisher noch unsicher.
Passworte sollten unbedingt geändert werden
Passworte zu E-Mail-Konten und andere Zugangskennungen zu Onlinediensten sollten unbedingt geändert werden, um eine missbräuchliche Nutzung zu vermeiden. Vor ein paar Tagen machte die Meldung die Runde, dass 18 Millionen Nutzerdaten gestohlen wurden. Drei Millionen deutsche Nutzer sollen zu den Betroffenen gehören. Dies geschah nun schon zum zweiten Mal innerhalb kurzer Zeit. Im Januar waren es 16 Millionen geklaute Nutzerdaten. Betroffene sollen theoretisch eine Nachricht ihres Dienstleisters bekommen, in der sie über den Datendiebstahl informiert werden. Gerade solch eine Meldung kann natürlich auch von böswilligen Mitmenschen genutzt werden, sich auf diesem Weg die Zugangsdaten erschleichen wollen. Wenn ein Dienstleister auf Probleme mit einem Konto hinweist, wird er ganz bestimmt nicht (!) die Zugangsdaten seiner Kunden erfragen oder scheinbar sichere LINKS bereitstellen, über die dann eine „Lösung des Problems“ möglich sein soll.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert über den Datendiebstahl und bietet auf seiner Internetseite eine Überprüfung der E-Mail-Adresse auf Identitätsdiebstahl an. Einfach die eigene E-Mail-Adresse in die Eingabemaske eingeben und hoffen, dass es keine Nachricht gibt.
Betroffene erhalten anschließend eine Nachricht, wenn der Fall des Identitätsdiebstahls eingetreten sein sollte. Auch wenn es keine Rückmeldung gibt, sollte das Passwort geändert werden.
„Achtung: Sollten Sie eine E-Mail mit Bezug zu diesem Sicherheitstest erhalten, die keinen oder einen falschen Betreff-Code enthält, dann stammt diese E-Mail nicht vom BSI und sollte ungeöffnet gelöscht werden. (Quelle: BSI)“
Diese Warnung gilt übrigens für alle fragwürdigen E-Mails. Schon eine solche Nachricht zu öffnen, kann ungeahnte Probleme mit sich bringen. Ein Klick auf einen LINK in einer solchen Mail, könnte heutzutage fast als ignorant oder fahrlässig angesehen werden, weil die Berichterstattung über solche Probleme fast täglich erfolgt.
Was kann bei Identitätsdiebstahl geschehen?
Im „harmlosen“ Fall, missbrauchen Kriminelle das E-Mail-Konto „nur“ zur Versendung von Spam-Mails. Zugangsdaten zu Online-Diensten wie Online Shops, Internet-Foren oder Sozialen Netzwerke lassen noch ganz andere Missbrauchsmöglichkeiten zu. Schnell ist das eigene Konto leergeräumt, weil andere mit den gestohlenen Daten munter Einkäufe tätigen.
Wie schütze ich mich? Wie sollte ein Passwort aussehen?
Auf keinen Fall sollte ein Passwort aus realen Begriffen bestehen. Namen und Geburtsdaten oder die Zeichenfolgen auf der Tastatur und ähnliches sind absolut tabu! Hacker nutzen Bibliotheken, um solche Namen in Sekundenschnelle auszutesten. Ein Passwort sollte nur einmal genutzt werden. Es mag zwar sehr bequem sein, dies nicht zu tun, einem Angreifer wird es aber sonst viel zu leicht gemacht.
Ein wenig Mathematik: Nehmen wir z.B. ein Zahlenschloss mit 4 Rädchen a 10 Ziffern. Das ergibt (10x10x10x10) 10.000 Kombinationsmöglichkeiten. Das ist nicht viel. Wählen wir dagegen für ein acht Zeichen langes Passwort nur aus Kleinbuchstaben (a-z=26), Großbuchstaben (A-Z=26) und Ziffern (0-9=10), dann bekommen schon (62x62x62x62x62x62x62x62) 218.340.105.584.896 Möglichkeiten. Das ist schon schwieriger zu knacken – im zehnbändigen „Großen Wörterbuch der deutschen Sprache“ vom Duden-Verlag sind rund 200.000 Worte zu finden, im einzelnen Rechtschreib-Duden „nur“ noch 135.000, ein Klacks für wörterbuchbasierende „Knack-Programme“.
Ein halbwegs sicheres Passwort sollte immer eine Kombination aus Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen sein – auch wenn dies unbequem und kaum mehr zu merken ist. Die Länge des Passwortes sollte mindestens 8 und mehr der vorher genannten Zeichen sein. Erlaubte Sonderzeichen sind Komma, Semikolon, Punkt, Doppelpunkt, Bindestrich, Unterstrich und Klammern. Wer sich schwer tut, ein Passwort zu erstellen, kann kleine kostenlose Programme nutzen, die auf Knopfdruck eines generieren.
Kein Passwort ist für die Ewigkeit. Es sollte ab und an geändert werden. Die aktuellen Datendiebstähle sind ein guter Anlass dafür…
Computerschutz mit Antiviren-Programmen und Firewall
Gerade ist Windows XP aufs Altengleis geschoben werden. Microsoft liefert keine Unterstützung mehr. Mögliche Sicherheitslücken werden nicht mehr geschlossen. Allein das Betriebssystem bietet also schon mögliche Einfallstore für Kriminelle und deren Schadprogramme, wie Viren und Trojaner. Steinzeitliche Browser, E-Mail-Programme, Java, Flash, Acrobat und andere Programme sind weitere mögliche Einfallstore, die Lücken aufweisen können. Regelmäßige Updates sollten also Pflicht sein.
Einen einfachen kostenlosen Online-Test seines Computers auf mögliche Lücken kann man hier oder hier durchführen lassen.
Etwa ein Viertel aller Internet-Nutzer ist ohne Schutz unterwegs. Weder Antivirenprogramm noch Firewall sorgen bei ihnen für ein Mindestmaß an Sicherheit. Auch wenn bei den modernen Betriebssystemen schon Schutzmechanismen eingebaut sind, bedeuten sie höchsten einen Schutz „light“, mehr aber nicht. Trojaner sind z.B. fähig, ihre Zugangsdaten abzufangen, bevor sie ihren Computer verlassen. Eine sichere Verbindung durch eine SSL-Verbindung nützt in diesem Fall nichts, weil der Schädling die unverschlüsselten Daten liest.
Wer zu geizig ist, für seinen Schutz Geld auszugeben, kann kostenlose Software nutzen, die immerhin einen grundlegenden Schutz bietet. Die Qualität dieser Programme ist höchst unterschiedlich. Käufliche „Rundumschutz-Pakete“, auch gleich für mehrere Computer gleichzeitig, sind durchaus schon für um die dreißig Euro zu haben. Das ist nicht zu viel, für eine höhere Sicherheit.
Natürlich bedeutet solch eine Sicherheitssoftwaren nicht, dass die eigene Aufmerksamkeit schleifen darf – ganz im Gegenteil! Anti-Viren-Software gewährleistet niemals einen 100%-igen Schutz. Neben der automatischen Computer-Überwachung durch Schutzsoftware ist ein regelmäßiger manueller Check durch diese Software notwendig.
Kostenlose Programme installieren immer häufiger „unerwünschte“ Software mit. Bei deren Installation ist also genauestens zu beachten, wo ein Häkchen in der Installation sitzt.
Das größte Problem am eigenen Computer ist immer noch der Nutzer selbst. Am besten geschützt ist ein Computer, der nie mit dem Internet verbunden wird – ein wenig realistischer Ansatz…