Der Heartbleed Bug ist noch immer gefährlich!

Die Gefahr nimmt kein Ende: Nun ist es schon knapp ein Vierteljahr her dass der Heartbleed Bug bekannt wurde. Dabei handelt es sich um die gravierendste Sicherheitslücke in der Geschichte des Internets. Das Sicherheitsloch gefährdet die verschlüsselte Kommunikation im Internet und liefert Angreifern Benutzernamen und Passwörter.

Mehrere Versionen der OpenSSL-Bibliothek weisen diese Sicherheitslücke auf. Bei OpenSSL handelt es sich um eine Programmbibliothek, mit der sich Verbindungen mit SSL (Secure Lockets Layer) verschlüsseln lassen. Diese Programmbibliothek verwenden die unterschiedlichsten Internet- und Netzwerk-Dienste. Betroffen sind deshalb nicht nur Webserver, sondern auch E-Mail-Server, FTP-Server, VPN-Server oder Router und NAS-Server.

Bei Bekanntwerden des Sicherheitslecks waren dem Sicherheitsexperten Robert Graham zufolge rund 600.000 Internetserver betroffen. Einem Monat später waren nur noch 300.000 Server unsicher. Doch nun herrscht Stillstand: Letztes Wochenende scannte Graham das Internet noch einmal nach verwundbaren Servern – und er fand noch immer über 300.000 unsichere Server.

Und dabei bleibt es nicht: Robert Graham geht davon aus, dass auch in zehn Jahren noch immer Tausende von Servern vom Heartbleed Bug betroffen sein werden und das Sicherheitsleck auf diesen Servern nicht geflickt wird. Das Problem löst sich nur dann, wenn die Hardware der älteren Server irgendwann einmal ausgetauscht wird.

Medienberichten zufolge soll der Heartbleed Bug übrigens bereits seit zwei Jahren bekannt sein – und vom US-amerikanischen Geheimdienst NSA seitdem auch ausgenutzt werden. Die US-Behörden haben nach eigenen Angaben aber selbst erst im April dieses Jahres vom Heartbleed-Leck erfahren.