Wie gestern bekannt wurde, ist die Heartbleed-Sicherheitslücke, dass Angreifer die Schwachstelle in der OpenSSL-Verschlüsselungssoftware benützt haben und im Verlauf von rund sechs Stunden Daten von rund 900 kanadischen Privatpersonen von CRA-Servern auslesen konnten. Möglicherweise sind auch Steuerdaten von Unternehmen betroffen. Dies ist noch Gegenstand einer aktuellen Untersuchung.

Die Steuerbehörde hatte kurz nach dem Bekanntwerden des Heartbleed-Bugs Anfang letzte Woche festgestellt, dass ihre Server verwundbar waren, und den Zugang am letzten Dienstag gesperrt. Allerdings nicht rechtzeitig: Kurz darauf, so der Chef der CRA Andrew Treusch, sei man von Security-Behörden über den vorangegangenen Datendiebstahl informiert worden. Leider erklärt Treusch nicht, wie der Datendiebstahl entdeckt wurde. Mittlerweile seien die Systeme gepatcht worden. Der Online-Service ist seit gestern wieder in Betrieb.

Die vom Datendiebstahl betroffenen Steuerzahler sollen nun individuell informiert werden. Ausserdem wurden weitere Massnahmen ergriffen, um sie zu schützen. Um die Betroffenen zu informieren, wählt die Steuerbehörde übrigens aus Sicherheitsgründen einen ganz traditionellen Weg: Eingeschriebene Briefe. Die "Schneckenpost" hat halt doch noch ihre Vorteile.

Gestern wurde auch noch ein weiterer Fall von Datendiebstahl bekannt, für den der Heartbleed-Bug ausgenützt wurde. Das britische Eltern-Infoportal 'Mumsnet' teilte mit, dass Daten seiner User geklaut wurden. 'Mumsnet' kann im Gegensatz zur CRA nicht sagen, welche seiner User betroffen sind - möglicherweise sind es alle. Der Blog hatte seine Server am letzten Donnerstag gepatcht, kam mit dieser Massnahme aber wie die CRA zu spät. (hjm)