tom's networking guide
 
Anzeige
Kaspersky: Jede zehnte Web-Attacke kommt aus Deutschland >
< Bewerbungsstart für den Technology Fast 50 Award 2014
17.04.14 17:20 Alter: 7 Jahre
Kategorie: Top-News, Produkt-News, Administratoren, Errichter, Gamer, Heim-Anwender, KMU, SOHO, Sicherheit, Anti-Phishing
Von: Maurice Hempel

Heartbleed: McAfee rät, Passwörter nicht zu wechseln

Der amerikanische Sicherheitsspezialist McAfee empfiehlt Anwendern, ihre Passwörter vorerst nicht zu wechseln. Angesichts dessen, dass geschätzte zwei Drittel aller Webseiten von Programmierfehler in OpenSSL betroffen sein sollen, mag das paradox klingen. Da das Problem jedoch Server-seitig besteht, sollte vor einer Änderung der Zugangsdaten zuerst sichergestellt sein, dass der Onlinedienst-Anbieter bereist eine Aktualisierung der OpenSSL-Version vorgenommen hat.


McAfee Logo.

McAfee Logo.

McAfee Heartbleed-Checker

McAfee Heartbleed-Checker

München – Der Programmierfehler in OpenSSL (Open-Secure-Sockets-Layer) fachte die öffentliche Diskussion über Datensicherheit im Internet erneut an. Welche Ausmaße ein Fehler in einem Verschlüsselungssystem, das von mehr als der Hälfte der Netz-Server verwendet wird, bedeutet, wurde eindrucksvoll unter Beweis gestellt. Obwohl die meisten Hersteller laut eigenen Angaben entweder ältere Versionen der Verschlüsselungsbibliothek verwenden oder wie beispielsweise Lancom auf Eigenanwendungen zur TLS-Implementierung setzen und den Fehler somit umgehen konnten, ist die Gefahr noch nicht gebannt.

Wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) mitteilte, habe die Sicherheitslücke vor allem bei kleineren Onlineshops oder Vereinen, die auf eine OpenSSL-Verschlüsselung setzen, noch immer Bestand. Nach wie vor ist nicht geklärt, wie viele Systeme tatsächlich kompromittiert wurden. Weiter heißt es von Seiten des BSI, dass auch E-Mail-Server, Firewalls und andere, von außen erreichbare Server gefährdet sein, insofern die Sicherung der Kommunikation auf 0penSSL-basiert.

Umso verwunderlicher scheint es, dass das amerikanische Internet-Sicherheits-Unternehmen McAfee dazu aufruft, Passwörter vorerst nicht zu ändern. Sinn ergibt diese Strategie jedoch, wenn man bedenkt, dass die Sicherheitslücke in der Kommunikation auf der Server-Seite besteht. So sollte laut McAfee zuallererst garantiert sein, dass die Sicherheitslücke auf den Servern behoben wurde, bevor es zu einem Wechsel der Passwörter kommt. Andernfalls bestünde die Möglichkeit der Datenspionage über das Heartbeat-Protokoll nach wie vor. Sofern ein Dienstanbieter über das Vorhandensein der Schwachstelle auf ihren servern informieren, sollten Nutzer darauf achten, dass in der Mail die Information enthalten ist, dass die Schwachstelle beseitigt wurde, bevor sie Passwörter ändern.

Falls von Seiten der Online-Dienste bislang keine Stellungnahme zur "Heartbleed"-Problematik erfolgte oder die Information fehlt, ob die Schwachstelle beseitigt wurde, können Nutzer selbst aktiv werden und prüfen, ob der verwendete Provider betroffen ist. Dafür stellt McAfee ab sofort ein Tool namens "Heartbleed-Schwachstellen-Scanner" zur Verfügung. Dieser Scanner prüft die verwendete OpenSSL-Version seitens der Dienstanbieter.

Wie so oft in Zusammenhang mit dem Aufdecken von Angriffen auf Datenbestände aller Art, ist auch hier wieder mit E-Mail-Phishing-Attacken zu rechnen. Darunter werden Angriffe Dritter verstanden, die sich als Betreiber von bestimmten Diensten ausgeben, um die Zugangsdaten des Nutzers zu erhalten. Unlängst hat ein solcher Fall stattgefunden und betraf ausgerechnet das Bundesamt für Sicherheit in der Informationstechnik. Der Dienst Paypal oder auch diverse Banken sind ebenfalls gern genutzte Deckmäntel für solche Attacken. Im Fall des BSI warnten Cyber-Kriminelle unter dem Deckmantel des BSI die Empfänger davor, dass "vermehrt illegale Aktivitäten" von ihrer IP-Adresse ausgingen. Das (echte) BSI reagierte sofort und riet Empfängern der Phishing-Mails dazu, "den Anweisungen nicht zu folgen, sondern die E-Mail zu löschen."


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige