Online-Shops könnten von Sicherheitslücke „Heartbleed“ betroffen sein

Ist Ihre Webseite von der Sicherheitslücke „Heartbleed“ betroffen? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt aktuell gerade kleinere Seitenbetreiber wie Online-Händler vor dem weit verbreiteten Bug. Durch den Bug können Cyberkriminelle trotz SSL-Verschlüsselung an sensible Daten von Internetnutzer gelangen.

(Bildquelle Heartbleed: wwwebmeister via Shutterstock)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt insbesondere Onliner-Händler vor dem aktuellen Sicherheitsproblem namens „Heartbleed“. Dabei handelt es sich um einen Fehler in dem Software-Paket OpenSSL, das von vielen Online-Händlern im Internet benutzt wird, um Verbindungen zwischen den Nutzern und ihrem Online-Shop sicherer zu machen. Durch den Fehler könnten Kriminelle trotz SSL-Verschlüsselung vertrauliche Daten wie Passwörter oder Nutzernamen mitlesen. Das BSI hat eine kostenlose Software bereitgestellt, welche die Webseiten auf das Sicherheitsproblem hin überprüft.

Zwei Drittel aller Internetserver von "Heartbleed" betroffen

Seit zwei Jahren schon soll „Heartbleed“ aktiv sein. Selbst der US-Geheimdienst NSA soll die weit verbreitete Sicherheitslücke genutzt haben, um Daten von Nutzern auszuspähen. Unmittelbarer ist aber die Gefahr, dass Kriminelle Daten von Verbrauchern missbrauchen könnten. Denn die Sicherheitslücke Heartbleed lässt Cyberkriminelle innerhalb des Softwarepaketes OpenSSL die Daten der Verbraucher mitlesen. Egal ob Nutzername, Passwort oder Kreditkartendaten.

Das größte Problem ist, dass die Verschlüsselungssoftware OpenSSL von zwei Dritteln aller Internetserver eingesetzt wird. Deshalb sind zahlreiche Online-Unternehmen von der Sicherheitslücke betroffen. Selbst Großkonzerne wie Google oder Yahoo waren gefährdet, sie haben allerdings den Fehler nach eigenen Angaben bereits behoben.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) sorgt sich nun insbesondere um kleinere Seitenbetreiber, die vielleicht noch nicht von der Sicherheitslücke erfahren haben könnten. „Online-Kriminelle können durch Ausnutzung dieser Sicherheitslücke zum Beispiel Passwörter oder Kreditkartendaten auslesen. Daten, die eigentlich verschlüsselt und damit uneinsehbar für andere übertragen werden sollten“, warnt das Bundesamt.

BSI empfieht Überprüfung der Online-Dienste

„Als Betreiber zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen kann eine Verwundbarkeit für "Heartbleed"-Angriffe gegeben sein. Neben diesen Webseiten empfiehlt das BSI auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen“, heißt es in einer aktuellen Mitteilung des BSI. Online-Händler und andere Seitenbetreiber können mit der Analyse-Software des BSI namens OpenVAS überprüfen, ob ihre Online-Dienste von dem Sicherheitsfehler betroffen sind.

Für den Fall, dass ein Online-Shop von Heartbleed betroffen ist, empfiehlt das BSI ein vorsichtiges Vorgehen: „Im Moment können Sie in dieser Hinsicht nichts tun, außer Ihr Passwort bei den Online-Diensten zu ändern, bei denen Sie einen Benutzernamen und ein Passwort angegeben haben. Das können E-Mail-Dienste sein, wie Web.de oder die Online-Seiten Ihrer Bank. Tun Sie das jedoch erst, wenn der jeweilige Betreiber der Dienste die Schwachstelle geschlossen und die Sicherheits-Zertifikate erneuert hat.“