Kontolino! und das Heartbleed-Problem

Kontolino! und das Heartbleed-Problem

Selbst der größte Computerlaie hat es sicher mitbekommen: das Internet wurde in den letzten Tagen durchgerüttelt von einer der spektakulärsten Sicherheitslücken, die die Computerwelt bisher gesehen hat.

Oder wie war das?

Die Lücke hörte auf den schönen Namen Heartbleed und praktisch alles und jedes System war davon irgendwie betroffen. Eine ziemlich schlampige Umsetzung einer einfachen „Heartbeat“-Funktion hat dazu geführt, dass ein vermeintlich sicherer HTTPS- oder TLS-Server an einen Angreifer einen (kleinen) Teil seines Arbeitsspeichers übertragen hat. Dummer Weise kann man nicht sagen, was für ein Speicherbereich es war, und was genau da drin war. Theoretische könnte es das Passwort eines angemeldeten Benutzers oder ein privater Schlüssel gewesen sein. Vielleicht aber auch einfach nur Bytesalat.
Mehr Details zu Heartbleed finden Sie z.B. bei heise online.

Das wirklich schlimme an der Sache war, dass die openSSL-Bibliothek, die diesen Fehler hatte, in so ziemlich jedem Internet-Applikationsserver, Mail-Server, Betriebssystem oder Verschlüsselungsprogramm zum Einsatz kommt. Und dass dieser Fehler offenbar 2 Jahre lang existiert hat, und vielleicht auch Leuten bekannt, war, die eventuell mit Passwörtern oder Verschlüsselungsparametern etwas anfangen können/möchten, das uns Anwendern nicht so recht ist.

Nun ist aber noch völlig unklar, ob diese Lücke wirklich von irgendjemandem erfolgreich ausgenutzt wurde, oder ob jemand einen Weg gefunden hat, aus dem kleinen Speicherauszug, der da übertragen wurde, herauszulesen, um was für Bytes es sich da handelt. Theoretisch möglich wäre es, daran besteht kein Zweifel.

Was aber hat das alles mit Kontolino!-Anwendern zu tun?

Nun, auch unser Web-Server nutzt openSSL, und war also potentiell betroffen. Uns ist bisher nicht bekannt, dass einem unserer Nutzer ein Schaden entstanden ist. Mehr lässt sich dazu leider nicht sagen.

Wir haben in der Nacht auf vergangenen Mittwoch (9. April 2014) ein update der openSSL-Bibliothek auf unseren Servern eingespielt, also praktisch sofort, als eine Behebung für Heartbleed verfügbar war. Damit haben wir schneller reagiert als so mancher Branchenriese. Für unsere Benutzer  ist damit die Heartbleed-Story abgeschlossen.

In der Expertenwelt ist es ziemlich umstritten, ob die Empfehlung, sofort und überall alle Passwörter zu ändern und möglichst nur noch mit Mundschutz ins Internet zu gehen, Sinn macht oder nicht. Wir sind der Meinung: Sie sollten Ihr Passwort ohnehin von Zeit zu Zeit ändern und möglichst für jeden Dienst, den Sie nutzen, ein eigenes Passwort nutzen. Natürlich haben Sie bei Kontolino! jederzeit die Möglichkeit, Ihr Passwort zu ändern oder sich ein neues, ziemlich kryptisches Passwort generieren zu lassen. Wie das geht, erfahren Sie im Bereich „Benutzer und Passwort“ in unserer Dokumentation.

Ein paar nützliche Tipps für den sicheren Umgang mit Passwörtern findet sich ebenfalls bei heise online. Dort finden Sie auch Vorschläge, wie Sie die Sache mit dem extra Passwort für jede Seite in den Griff bekommen, ohne sich hunderte Passwörter merken zu müssen.