"Heartbleed"-Sicherheitslücke noch immer offen

8. April 2017, 21:58

Auch interne Kommunikation betroffen

Die gute Nachricht: Bei den Banken wurde keine Sicherheitslücke gefunden. Die schlechte: Einige tausend österreichische Webserver haben noch nicht auf die Sicherheitslücke bei der Verschlüsselung von Internet-Seiten reagiert, sagt Hans Zeger von der Arge Daten: "Das kann Webseiten mit 'https'-Verschlüsselung betreffen, aber auch interne Kommunikation, wenn Mitarbeiter von unterwegs auf interne Daten einer Firma zugreifen." Die Lücke ist deswegen so unangenehm, weil sie gerade den vermeintlich sicheren Datenverkehr trifft - genau dort, wo verschlüsselt kommuniziert wird, kann man die Passwörter herauslesen, sagt Zeger.

Immer noch über 2.000 Systeme

Auch das österreichische nationale Computersicherheitsteam cert.at hat die "Heartbleed"-Lücke überprüft. Während vergangene Woche noch über 7.000 Systeme in Österreich als potentiell verwundbar galten, sind es derzeit um zwei Drittel weniger, aber immer noch 2.300, sagt Leon Aaron Kaplan von cert.at. Der Grund: es gibt Systeme, die nicht oder nicht intensiv gewartet werden, bestätigt auch Hans Zeger. Er vermutet, dass manche von dieser Lücke gar nichts wissen oder sich zu sehr auf eine frühere Installation verlassen.

Internationales Problem

Allerdings ist die Zahl der unsicheren Server international natürlich noch deutlich höher - und das betrifft wiederum alle Österreicher, die surfen, so Kaplan. Google und andere große Anbieter hätten sehr schnell reagiert und schon am ersten Tag repariert. Das Problem seien aber die kleinen Server, sagt auch Kaplan.

In Österreich besteht laut Datenschutzgesetz übrigens die Verpflichtung zur Beseitigung der Sicherheitslücke. wer das nicht tut, hat Verwaltungsstrafen zu befürchten und ist schadenersatzpflichtig. Cert.at wird die betroffenen Betreiber nun aktiv warnen.

Übersicht

• Digital