Die Meldungen über Sicherheitslücken häufen sich und für uns Normalanwender wird es immer schwieriger, den kryptischen Fehlerbeschreibungen zu folgen. Seit einigen Tagen geistert eine schwere Sicherheitslücke unter dem Namen „Heartbleed“ durch die Schlagzeilen.

Durch eine falsche Programmierung im OpenSSL-Code war die beabsichtigte Verschlüsselung fehlerhaft. Angreifer waren dadurch in der Lage Daten inklusive etwaiger Serverzertifikate, Benutzernamen und Passwörter auszulesen. Trotz Open-Source-Codes ist dieser Fehler keinem aufgefallen und in der Open-Source-Community ist entsprechend Unruhe. Die „Hätte, hätte Fahrradkette-Fraktion“ sorgt für viel Diskussion und Wirbel, das ist bei diesem Fauxpas aber durchaus angezeigt, denn durch bekannte private Schlüssel der Zertifikate kann auch aufgezeichneter Datenverkehr nachträglich entschlüsselt werden. Für kriminelle Datensammler also ideale Bedingungen.

Für den normalen Anwender ist festzuhalten, dass viele renommierte Webseiten angreifbar waren und Kundendaten eventuell ausgelesen wurden. Das Ausnutzen dieser Sicherheitslücke hinterlässt kaum Spuren, ob Daten abgegriffen wurden, lässt sich also für die Anbieter kaum feststellen. Während die NSA den Fehler länger nutzt, ist mindestens ein weiterer Fall aus dem November 2013 wahrscheinlich.

Die größeren Unternehmen sollten die Lücke inzwischen durch ein Softwareupdate geschlossen haben, trotzdem empfiehlt es sich, seine Login-Daten mit neuen Passwörtern auszustatten. Insbesondere die Web-Angebote in denen Bankverbindungen verknüpft sind, sollten unbedingt entsprechend überarbeitet werden.

Wir Pokerspieler können immerhin die PokerStars- und Full Tilt Logins außen vor lassen. Hier hat sich Rob Withington per Presseerklärung gemeldet und mitgeteilt, dass Desktop- und Mobil-Client der Anbieter nicht anfällig waren. Während PokerStars mit TSL arbeitet, kam bei Full-Tilt eine nicht verbuggte Version von OpenSSL zum Einsatz. Lediglich die Playmoney-Seite auf Facebook lief über OpenSSL, dürfte aber kaum ein attraktives Ziel für Hacker gewesen sein.

Bei den anderen Pokeranbietern sollte man auf alle Fälle mit neuen (sicheren) Passwörtern an den Start gehen, gleiches gilt übrigens auch für Skrill … von den ehemaligen „Moneybookern“ sollten die Kunden zwischenzeitlich die Aufforderung zur Passwortänderung erhalten haben.

Das ist eine gute Gelegenheit auf einen Passwortmanager zurückzugreifen. Neben Keepass und 1Password tummeln sich diverse Softwarelösungen auf dem Markt … Sicherheit kann dadurch auch mit Bequemlichkeit Hand in Hand gehen. „1234Passwort“ ist damit hoffentlich Schnee von gestern.