WWW

Warum man dieses Mal sein Passwort wirklich ändern muss

Erst in der vergangenen Woche wurde der Diebstahl von 18 Millionen E-Mail-Adressen samt zugehöriger Passworten bekannt – nicht der erste Vorfall dieser Art. In dieser Woche hören wir von einem neuen Sicherheitsproblem im Internet, dem schlimmsten überhaupt. Und werden schon wieder aufgefordert, unsere Passworte zu ändern.

Lesezeit: 3 Minuten
Anzeige

Von unserem Redakteur Jochen Magnus

Warum diese Dramatik?

In das Sicherheitsmodul OpenSSL hat ein Programmierer vor ungefähr zwei Jahren einen Fehler eingebaut. Diese Programmbibliothek stellt Ver- und Entschlüsselungsmethoden zur Verfügung und ist in die meisten Programme eingebunden, die im Internet vertrauliche Daten austauschen. Weil durch den Fehler unter Umständen die geheime Kommunikation belauscht werden konnte, sind fast alle Internetnutzer betroffen.

Gibt es eine Liste betroffener E-Mail-Adressen?

Nein, anders als bei dem E-Mail-Diebstahl, der vergangene Woche bekannt wurde, gibt es keine Liste. Im einzigen, bislang bekannt gewordenen Fall, in dem vertrauliche Unterhaltungen durch das defekte Modul belauscht wurde, geht es um Chat-Programme (IRC-Chat).

Kann man sonst irgendwo nachschauen, ob man betroffen ist?

Für die Netzwerk- und Systemverwalter ist es sehr schwierig, nachträglich festzustellen, ob mit Hilfe der Sicherheitslücke in ihre Systeme eingebrochen wurde. Der Einbruch erfolgt auf einer tiefen technischen Ebene, die normalerweise nicht protokolliert wird. Kaum jemand hatte vorher an dieser Stelle ein Problem vermutet. Daher wird es nur in Ausnahmefällen möglich sein, Gewissheit zu erlangen, ob man selbst betroffen ist.

Bei welchen Diensten sollte man unbedingt sein Passwort ändern?

In jedem Fall beim Homebanking. Viele Sparkassen und Banken nutzten das defekte Sicherheitsmodul. Konkrete Auskünfte erhält man zur Zeit nicht. Aber das Passwort fürs Homebanking sollte sowieso gelegentlich erneuert werden: Jetzt ist genau die richtige Gelegenheit dazu!

Welche Anbieter sind von Heartbleed betroffen?

Der US-amerikanische Internetdienst mashable.com hat akribisch recherchiert und eine Liste internationaler Anbieter zusammengestellt. Demnach müssen sich Käufer und Verkäufer von Amazon keine Gedanken machen. Glück haben auch die Nutzer der Internetdienste von Apple, eBay, Microsoft und PayPal. Bei Twitter ist vermutlich nichts passiert, aber hier sei Vorsicht die Mutter der Porzellankiste, meint der Betreiber sinngemäß.

Wer allerdings Google (auch Google Mail!), Yahoo, den Bloganbieter Tumblr, die Bilderdienste Instagram oder Pinterest oder den deutschen Dienst web.de nutzt, sollte sich ein neues Passwort ausdenken. Ebenso die Nutzer des Dateinutzer des Austauschdienstes Dropbox, des Musikdienstes Soundcloud und des Spiels Minecraft. Auch die Mieter von Amazon-Servern sollten handeln.

Wie sollte man Passworte wählen?

Für jeden Dienst, den man im Internet nutzt, sei es E-Mail, Facebook, Homebanking, ein anderes, möglichst kompliziertes Passwort wählen und es alle vier Wochen ändern …

… hält natürlich kein normaler Mensch aus. Man muss einen Kompromiss schließen: Wichtige Dienste, an erster Stelle Homebanking, und alle, bei denen Geld fließt, sollten stets eigene Passworte haben, die auch nicht zu einfach sind. Also: Amazon, Ebay, Homebanking und PayPal niemals mit dem gleichen Passwort versehen!

Wie kann man sich so viele Passworte merken?

Das Apple-Betriebssystem hat eine eingebaute Schlüssel- und Passwortverwaltung. Wenn man will, merkt sie sich sämtliche Passworte und gibt sie preis, wenn man das Anmeldepasswort eingibt. Für andere Systeme kann man Passwort-Verwaltungsprogramme dazukaufen oder kostenlos im Internet herunterladen. Besonders letzteres ist natürlich extrem kritisch, denn eine solche Software mit absichtlich oder unabsichtlich eingebauten Fehlern verriete dann gleich alle Geheimnisse auf einmal. Daher unbedingt vorher in der Computerpresse oder im Internet nach Empfehlungen suchen.

Auf jeden Fall muss das Anmelde- oder Masterpasswort mit größter Sorgfalt gewählt werden. Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir haben eine Kurzadresse vergeben: ku-rz.de/bsitipps.

Hat die NSA diesen Fehler eingebaut, um zu lauschen?

Diese Theorie kursiert (natürlich) im Internet. Aber der Programmierer, der den Fehler in die Verschlüsselungs-Software eingebaut hat, ist namentlich bekannt und hat bereits mehrere Interviews gegeben. Es ist ein junger Deutscher, der während seines Studiums an der Software OpenSSL mitgewirkt hat. Auch der Prüfer des für jedermann frei zugänglichen Quellcodes hat das Problem glatt übersehen. Es ist tatsächlich nur eine Kleinigkeit falsch gemacht worden und der Fehler ließ sich praktisch in zehn Minuten beheben – nachdem er denn endlich aufgefallen war.

Nicht ausgeschlossen ist allerdings, dass Geheimdienste das Problem längst bemerkt und auch zum Belauschen ausgenutzt haben. Laut dem Nachrichtendienst „Bloomberg“ hat die NSA tatsächlich die Sicherheitslücke seit langem systematisch ausgenutzt.

Was man auf keinen Fall tun sollte

Für manche Menschen ist Sicherheit überhaupt kein Thema: Ein Reporter von Stefan Raabs Sendung „TV total“ bat vor ein paar Tagen Menschen auf der Straße um die Nennung ihres Passwortes. Ausgestattet mit Pro 7-Mikrofon und iPad, gab er vor, die Sicherheit des Passwortes prüfen zu wollen. Nicht wenige Befragte verrieten dem Sender ihre E-Mail-Adresse samt Passwort, einige gaben auf Nachfrage sogar die Geheimzahl ihrer Bankkarte preis (Video).