Derzeit versetzt eine Sicherheitslücke in der weit verbreiteten Software OpenSSL die Fachwelt und die Betreiber von Websites in Aufruhr. Eigentlich soll OpenSSL helfen, Datenverkehr im Internet zu verschlüsseln und damit vor unerwünschten Schnüfflern zu schützen. Doch eine gerade erst entdeckte, aber schon zwei Jahre alte Schwachstelle namens Heartbleed erlaubt es Angreifern, sensible Daten aus verschlüsselten Verbindungen zu stehlen. 

Mit den technischen Einzelheiten müssen sich vor allem die Betreiber von Websites beschäftigen. Doch Heartbleed geht auch ganz normale Internetnutzer an. Die wichtigsten Fragen und Antworten im Überblick:

Wer genau ist betroffen?

Die Lücke klafft in einer Software namens OpenSSL. Das Programm ist einer der Baukästen für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend. Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL. Die Ergebnisse eines Tests der beliebtesten Seiten am Dienstag mögen nicht mehr aktuell sein, aber sie geben einen Eindruck davon wieder, wie verbreitet die Sicherheitslücke war und ist. Zumindest bis gestern betroffen waren yahoo.com, flickr.com, web.de, das Flirtportal okcupid.com und viele weitere Angebote.

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion Heartbeat, "Herzschlag".

Wie kann die Schwachstelle ausgenutzt werden?

Angreifer könnten einen Server dazu bringen, nicht nur die Heartbeat-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler Heartbleed, weil er Informationen "ausblutet".

Wie gefährlich ist die Sicherheitslücke?

"Das Problem ist, dass ein Angreifer beliebige Information auslesen kann", sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. "Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle." Der Kryptografie-Experte Bruce Schneier drückt es drastischer aus: "Katastrophal ist das richtige Wort. Auf einer Skala von eins bis zehn ist das hier eine Elf."

Was können Angreifer damit anfangen? 

Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann eigentlich sichere Kommunikation mitlesen. Kriminelle könnten sich auch für eine andere Webseite ausgeben, etwa für die einer Bank, warnt Marian Gawron, der am HPI forscht. Wenn die die echten, zuvor gestohlenen Sicherheitsinformationen nutzen, wäre das für den Nutzer kaum zu erkennen. Bisher sind keine Attacken bekannt geworden, sagt Gawron. Aber: "Der Angriff ist sehr schwer nachzuvollziehen, weil er sehr unauffällig ist."

Wie kann der Fehler behoben werden?

Zunächst einmal sind die Betreiber von Webservern gefragt. Wenn sie die betroffene OpenSSL-Version benutzten, müssen sie zügig auf die jüngste Version umsteigen. Damit wird die Lücke erst einmal geschlossen. Das Problem ist: Der Fehler versteckte sich bereits zwei Jahre in der OpenSSL-Software, bis er auffiel. Angreifer könnten also bereits Passwörter und Verschlüsselungsinformationen abgefischt haben. Nachträglich lässt sich das aber nicht feststellen.

Was müssen Webseiten-Betreiber noch tun?

Es kann nicht zweifelsfrei ausgeschlossen werden, dass die Werkzeuge zur Verschlüsselung der eigenen Internetdaten gestohlen wurden. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. "Wer auf der sicheren Seite sein möchte, sollte die Schlüssel neu beantragen", sagt HPI-Doktorand Gawrow. Das rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Was sollten Internetnutzer tun?

Sie können erst einmal nur abwarten, bis die Betreiber von Webangeboten die Lücke schließen. Der italienische Programmierer Filippo Valsorda stellte die Seite filippo.io/Heartbleed/ ins Netz, auf der man testen kann, ob eine bestimmte Seite betroffen ist. Das Ergebnis ist allerdings nicht immer ganz zuverlässig. Nutzer sollten besonders bei sensiblen Daten überlegen, ihre Passwörter zu ändern. Das macht allerdings erst Sinn, nachdem die Betreiber der jeweiligen Webseiten den OpenSSL-Fehler behoben haben. Nutzer von Googles Chrome-Browser finden hier noch einen weiteren Tipp. Roger Dingledine vom Tor-Projekt warnt sogar: "Wenn du starke Anonymität oder Privatsphäre im Netz brauchst, solltest du dem Internet in den nächsten Tagen vielleicht vollständig fernbleiben, bis sich die Lage beruhigt hat."