Viele Schweizer Banken haben das SSL-Zertifikat noch nicht erneuert. Wie sicher kann man aber überhaupt sein?
Die am Montag
entdeckte Sicherheitslücke namens "Heartbleed" in der weitverbreiteten Verschlüsselungssoftware OpenSSL sorgt für gehörige Ungewissheit. Denn eigentlich gibt seit der Bekanntgabe des Fehlers ein Update, das Anbieter einspielen können. Nur reicht das nicht: Serverbetreiber müssen die Zertifikate austauschen, um ganz sicher zu sein.
Die Lücke existiert bereits seit zwei Jahren. Daher besteht die Gefahr, dass systematisch Server-Schlüssel eingesammelt wurden. Bereits gestern
testete die Piratenpartei des Kantons Aargau die Partei, welche Bank davon ihre Zertifikate erneuert haben: von den 51 getesteten haben dies erst 19.
Die meisten Experten raten im Umgang mit dem Heartbleed-Bug vor allem eins: Alle Passwörter ändern. Die Unsicherheit bleibt aber, denn niemand kann sagen, ob und welche Daten entwichen sind.
Auch das Smartphone testen
Aus vielen Ecken der IT-Branche kommen auch helfende Hände: So verspricht beispielsweise der Provider Hostpoint nun, dass die Kunden die SSL-Zertifikate kostenlos austauschen können. Auch der Zertifizierungsdienstanbieter QuoVadis verspricht, dass sie die alten Zertifikate gratis austauschen werden. Es wurde aber auch eine Applikation namens
'Lookout' für Android-Geräte entwickelt, die testen soll, ob es auf dem entsprechenden Gerät Gefahren gibt oder nicht.
Der Sicherheitsgedanke
Steve Durbin, Global Vice President des Information Security Forums, findet, dass ein falsches Sicherheitsverständnis weit verbereitet ist. "Bei der Diskussion um die NSA-Affäre nannten viele Experten Verschlüsselung als Allheilmittel für den Schutz von Kommunikation und sensiblen Daten im Internet. Die Sicherheitslücke Heartbleed in der Verschlüsselungs-Software OpenSSL macht nun deutlich, dass dem nicht so ist. Meine Schlussfolgerung daraus lautet, dass es absolute Sicherheit im Cyberspace nicht gibt und auch nie geben wird."
Er empfiehlt den Unternehmen demnach daran zu denken, dass trotz modernsten Verschlüsselungstechniken sensible Informationen immer in falsche Hände gelangen können. (lvb)