Heartbleed: Neue Zertifikate für alle!

10. April 2014 um 15:49
  • security
image

Viele Schweizer Banken haben das SSL-Zertifikat noch nicht erneuert. Wie sicher kann man aber überhaupt sein?

Viele Schweizer Banken haben das SSL-Zertifikat noch nicht erneuert. Wie sicher kann man aber überhaupt sein?
Die am Montag entdeckte Sicherheitslücke namens "Heartbleed" in der weitverbreiteten Verschlüsselungssoftware OpenSSL sorgt für gehörige Ungewissheit. Denn eigentlich gibt seit der Bekanntgabe des Fehlers ein Update, das Anbieter einspielen können. Nur reicht das nicht: Serverbetreiber müssen die Zertifikate austauschen, um ganz sicher zu sein.
Die Lücke existiert bereits seit zwei Jahren. Daher besteht die Gefahr, dass systematisch Server-Schlüssel eingesammelt wurden. Bereits gestern testete die Piratenpartei des Kantons Aargau die Partei, welche Bank davon ihre Zertifikate erneuert haben: von den 51 getesteten haben dies erst 19.
Die meisten Experten raten im Umgang mit dem Heartbleed-Bug vor allem eins: Alle Passwörter ändern. Die Unsicherheit bleibt aber, denn niemand kann sagen, ob und welche Daten entwichen sind.
Auch das Smartphone testen
Aus vielen Ecken der IT-Branche kommen auch helfende Hände: So verspricht beispielsweise der Provider Hostpoint nun, dass die Kunden die SSL-Zertifikate kostenlos austauschen können. Auch der Zertifizierungsdienstanbieter QuoVadis verspricht, dass sie die alten Zertifikate gratis austauschen werden. Es wurde aber auch eine Applikation namens 'Lookout' für Android-Geräte entwickelt, die testen soll, ob es auf dem entsprechenden Gerät Gefahren gibt oder nicht.
Der Sicherheitsgedanke
Steve Durbin, Global Vice President des Information Security Forums, findet, dass ein falsches Sicherheitsverständnis weit verbereitet ist. "Bei der Diskussion um die NSA-Affäre nannten viele Experten Verschlüsselung als Allheilmittel für den Schutz von Kommunikation und sensiblen Daten im Internet. Die Sicherheitslücke Heartbleed in der Verschlüsselungs-Software OpenSSL macht nun deutlich, dass dem nicht so ist. Meine Schlussfolgerung daraus lautet, dass es absolute Sicherheit im Cyberspace nicht gibt und auch nie geben wird."
Er empfiehlt den Unternehmen demnach daran zu denken, dass trotz modernsten Verschlüsselungstechniken sensible Informationen immer in falsche Hände gelangen können. (lvb)

Loading

Mehr zum Thema

imageAbo

Schweiz modernisiert digitale Polizeidienste

PTI Schweiz schreibt die nächste Generation der nationalen Online-Polizeiplattform Suisse ePolice aus. Die Lösung soll Online-Dienste der Polizeikorps ausbauen und stärker automatisieren.

publiziert am 22.6.2026
image

Finanzplatz Schweiz von KI-Modell Mythos bedroht

Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.

publiziert am 19.6.2026
imageAbo

EFK sieht Lücken in der Cyberabwehr des Bundes

Bei der Zusammenarbeit zwischen FS BIS und dem Bacs bestehen noch Lücken – insbesondere bei Vorgaben, Prozessen und der Meldung von Cybervorfällen.

publiziert am 18.6.2026
image

Hackerkampagne kompromittiert 74'000 Fortinet-Firewalls

Der "Fortibleed" getaufte Angriff legt Zugangsdaten von Organisationen weltweit offen. Sicherheitsforscher nennen das Ausmass "erschreckend".

publiziert am 18.6.2026