Anfang April wurde ein Programmierfehler in der Verschlüsselungsbibliothek OpenSSL unter dem Namen Heartbleed öffentlich. OpenSSL sorgt normalerweise dafür, dass bei verschlüsselten Webseiten (https) Dein Kennwort geschützt übertragen wird und von Dritten nicht ausgelesen werden kann. Die Lücke in OpenSSL macht dieses Auslesen von Kennwörtern aber möglich.
Von Heartbleed sind so ziemlich alle Systeme betroffen die mit dem Internet kommunizieren – Dein Computer, Dein Smartphone, aber zum Beispiel auch Dein SmartTV; neben Deinen privaten Geräten aber natürlich auch die Server von großen Internetunternehmen. Facebook, Instagram, Google, Wikipedia, WordPress und Yahoo, um nur einige zu nennen. Die Website Mashable hat eine Liste veröffentlich, auf der Du die entsprechenden Unternehmen und Dienste finden kannst.
Unter folgendem Link https://heartbleed.agilebits.com/ lassen sich Webseiten überprüfen.
Solltest Du Nutzer einer der Dienste sein, ist Dein Kennwort für die aufgeführte Webseite nicht mehr sicher. Du kannst Dein Kennwort aber erst erneuern, sobald auf dem betroffenen Server die OpenSSL-Sicherheitslücke geschlossen wurde, ansonsten ist auch Dein neu vergebenes Kennwort direkt wieder unsicher. Also prüfe zuerst über den 1Password Watchtower, ob die Seite ein Problem mit Heartbleed hatte und ob die Zertifikate bereits erneuert wurden – wenn beides zutrifft, aktualisiere Dein Kennwort umgehend.
Um zukünftig besser vor solch einem Verschlüsselungs-GAU geschützt zu sein, solltest Du die sogenannte Zwei-Faktor-Authentifizierung für so viele Dienste wie möglich nutzen. Bei der Zwei-Faktor-Authentifizierung ist der erste Faktor das von Dir vergebenen statische Kennwort und der zweite Faktor ist ein temporäres Kennwort, das Dir z.B. über Dein Handy geschickt wird. Um Dich dann beispielsweise bei Facebook anzumelden, benötigst Du beide Faktoren. Wenn Du die Zwei-Faktor-Authentifizierung eingerichtet hast, kann sich ein möglicher Angreifer (Hacker) nicht alleine mit Deinem statischen Kennwort authentifizieren und so auch keinen Schaden anrichten.
Der OpenSSL-GAU ist nach den zwei Warnungen durch das BSI („Diebstahl“ von Millionen von E-Mail-Adressen) bereits der dritte Vorfall innerhalb kurzer Zeit, der eine Änderung Deiner Kennwörter sinnvoll erscheinen lässt. Natürlich solltest Du nun auch jeweils unterschiedliche Kennwörter wählen, die darüber hinaus sicher (also möglichst kompliziert) sind.
Mit welchen Werkzeugen man die Fülle an Kennwörtern komfortabel verwalten und sich somit bequem „merken“ kann, zeige ich Dir hier: