“Bei einer guten Lösung dreht es sich immer um den User.

Kennen Sie die Bedürfnisse Ihrer Anwender?”

» Waidner IT Solutions | Mainz/Wiesbaden | +49 176 10042345
Home » Allgemein » Hilfe – OpenSSL unsicher und 18 Millionen Zugangsdaten weg – was muss ich wissen?

Hilfe – OpenSSL unsicher und 18 Millionen Zugangsdaten weg – was muss ich wissen?

In der letzten Woche haben sich 2 große Sicherheitsthemen verbreitet: die Liste der 18 Millionen gestohlenen Zugangsdaten, die dem BSI übergeben wurden, und der Heartbleed-Exploit, der eine der populärsten Verschlüsselungsbibliotheken, nämlich OpenSSL, betrifft.

Neben der Panikmache, die von allen großen Medien und leider auch dem BSI verbreitet wird, fragt sich der Nutzer nun, was kann und muss ich machen?

Bin ich betroffen?

Mit ziemlicher Sicherheit: ja.

Was bedeutet, wenn ich auf der BSI-Liste stehen sollte?

Die Liste der 18 Millionen Zugänge des BSI ist groß und es bestehen durchaus Chancen, dass man sich dort mit irgendeiner Mail-Adresse wiederfindet. Man kann das mit einem Tool prüfen, dies hilft aber genau gar nichts. Falsch ist bspw., dass immer das Mail-Konto gehackt wurde. Es ist irgendeine Website betroffen, bei der man als Benutzernamen seine Mail-Adresse und ein Passwort einsetzt. Dies könnte bspw. amazon sein, oder auch das kleine Hobbyforum. Schlimm ist das nur, wenn man das gleiche, womöglich einfache Passwort, auf mehreren Seiten einsetzt. Dann liefert man nämlich einen Generalschlüssel.

Was bedeutet die OpenSSL-Lücke für mich?

OpenSSL wird in der verschlüsselten Kommunikation von unglaublich vielen Websites verwendet. Sei dies nun Google, Facebook, flickr, Dropbox, oder auch wieder das kleine Forum, in dem man sich über sein Hobby unterhält. Ein Angreifer kann hier eventuell unverschlüsselte Passworte entwenden.

Wie schlimm ist es?

Auf einer Skala von 1 bis 10 eine 11. Die BSI-Liste ist lang und die OpenSSL-Liste noch länger.

Was muss ich machen?

Passworte ändern, und zwar von allen betroffenen Seiten. Wenn man eigene Server betreibt, OpenSSL aktualisieren.

Und wie weiß ich, welche Seite betroffen ist?

Weiß man nicht immer, das ist Teil des Problems. Daher zuerst einmal alle Passworte ändern, bei denen kritische Daten betroffen sind. Dies sind meist Email-Konten, Social Networking (Facebook, Google+, Twitter, …) und Zugangsdaten für Banken (ja, auch die sind betroffen).

Was mache ich, damit das nicht wieder passiert?

Man kann sich nur selbst schützen, indem man überall ein anderes, sicheres Passwort einsetzt. Dies erfordert Aufwand, aber man benutzt ja auch nicht den gleichen Schlüssel für die Haustür, das Auto und die Sporthalle und teilt diesen mit allen Sportkameraden. Hilfreich sind dabei Tools wie bspw. Keepass oder Lastpass, mit denen man seine Passworte speichern kann.