EN

Was ist der Heartbleed-Bug und wie kann er verhindert werden?

In diesem Artikel:

Der Heartbleed-Bug wurde 2014 als schwerwiegende Sicherheitslücke in der Verschlüsselungssoftware OpenSSL öffentlich bekannt gegeben. Sicherheitsexperten haben ihn als eine der kritischsten Cybersicherheitslücken des letzten Jahrzehnts eingestuft. Sie betraf große Unternehmen und Dienste wie Google, Yahoo, Dropbox, Netflix, Facebook, Amazon Web Services, Tumblr und Intuit.

Die Heartbleed-Sicherheitslücke ist deshalb so ernst zu nehmen, weil sie leicht auszunutzen ist, die Schwachstelle schon seit langem bekannt ist und es schwierig ist, die Angriffe zu erkennen. Der Fehler betrifft die SSL- (Secure Sockets Layer) /TLS-Protokolle (Transport Layer Security), die für die sichere Kommunikation und den Schutz der Privatsphäre bei einer Vielzahl von Online-Diensten verwendet werden – darunter Web, E-Mail und Instant Messaging. Er bringt Webserver dazu, in ihrem Speicher gespeicherte Daten zu übertragen, wodurch verschiedene Arten von sensiblen persönlichen Informationen und Inhalten offengelegt werden. 

Hier finden Sie einen Überblick darüber, was der Heartbleed-Bug ist und wie Sie ihn bekämpfen können. 

Heartbleed Bug Sicherheitsbewertung

Security Assessment Prevent Heartbleed

CVSS-Vektor: AV:N/AC:L/AU:N/C:P/I:N/A:N

Was ist der Heartbleed-Bug?

Der Heartbleed-Bug ist in den Common Vulnerabilities and Exposures of the Standard for Information Security Vulnerability Names, die von MITRE gepflegt werden, als CVE-2014-0160 klassifiziert. Es handelt sich um einen Pufferüberlauf – ein Fall, in dem ein System den Zugriff auf Daten zulässt, der eigentlich eingeschränkt sein sollte. 

Was ist die Heartbleed-Schwachstelle in Kurzform? Sie ermöglicht es Angreifern, den privaten Schlüssel eines Serverzertifikats zu stehlen. Wenn die Serverversion für Heartbleed anfällig ist, können Cyberkriminelle den privaten Schlüssel abrufen und sich als der Server ausgeben. Das kann schlimme Folgen haben, da sichere Verbindungen zum Server nicht mehr möglich sind und private Informationen leicht preisgegeben werden können. 

Wie funktioniert der Heartbleed-Bug?

Der Mechanismus, der hinter der Heartbleed-Schwachstelle steckt, ist im Grunde genommen nicht sehr komplex. Es handelt sich um die Ausnutzung einer mangelhaften Eingabevalidierung in der Heartbeat-Erweiterung. 

Der SSL-Standard bietet die Möglichkeit, einen „Heartbeat“ zu senden – ein Computer kann eine Nachricht an das andere Ende der Verbindung senden, um zu überprüfen, ob der andere Computer online ist, indem er einen „Beat“ zurückbekommt. Angreifer können die Heartbeat-Anforderungsfunktion nutzen, um eine bösartige Nachricht anstelle einer normalen Nachricht zu senden. Dadurch kann der Computer auf der Empfängerseite dazu gebracht werden, geheime Daten zu akzeptieren und zu übertragen – einschließlich des Speichers des Servers. 

Durch die Ausnutzung der Heartbeat-Option und das Fehlen einer ordnungsgemäßen Bounds-Check-Funktion können Angreifer Zugang zu den geheimen Schlüsseln erhalten, die persönliche Daten wie Namen und Kennwörter sowie die übertragenen Inhalte verschlüsseln. 

Zu den Lecks können primäres und sekundäres Schlüsselmaterial, tatsächliche Inhalte und Sicherheiten gehören. Bei primärem Schlüsselmaterial handelt es sich um die Verschlüsselungsschlüssel, die eine Entschlüsselung des Datenverkehrs ermöglichen würden, während es sich bei sekundärem Schlüsselmaterial um Anmeldedaten wie Benutzernamen und Passwörter handelt. Zu den Inhalten zählen unter anderem E-Mails, Sofortnachrichten, Dokumente, Sozialversicherungsnummern, medizinische Daten und finanzielle Details. Was die Sicherheiten betrifft, so können sie technische Details wie Sicherheitsmechanismen und Speicheradressen umfassen.  

All diese Daten können wiederum von böswilligen Benutzern zum Abhören, zur Benutzer-Identifizierung und zum Datendiebstahl verwendet werden. Das Schlimmste daran ist, dass der Angriff keine Spuren hinterlässt und ohne Anmeldedaten ausgeführt wird. Das macht es schwierig, die tatsächlichen Sicherheitsanweisungen, die möglicherweise aufgetreten sind, in Angriff zu nehmen. 

Die Heartbleed-Sicherheitslücke wird nicht als Designfehler im SSL/TLS-Protokoll betrachtet. Vielmehr handelt es sich um einen Programmierfehler in der Implementierung, der die kryptografische Bibliothek OpenSSL betrifft, die Anwendungen und Dienste mit SSL/TLS-Verschlüsselung versorgt. 

Zeitleiste und Auswirkungen des Heartbleed-Bugs

Der Heartbleed-Bug wurde am 7. April 2014 der Öffentlichkeit bekannt gemacht. Am selben Tag veröffentlichte OpenSSL eine korrigierte Version, die die Sicherheitslücke behebt. 

Entdeckung des Fehlers

Die Sicherheitslücke wurde unabhängig voneinander von zwei Parteien entdeckt – von einem Codenomicon-Sicherheitsforschungsteam, bestehend aus Riku, Antti und Matti, und von Neel Mehta von Google Security, der sie an das OpenSSL-Team meldete. 

Das Sicherheitsforschungsteam von Codenomicon entdeckte den riesigen Sicherheitsfehler während seiner Bemühungen, die SafeGuard-Funktion seiner Sicherheitstestplattform Defensics zu verbessern. Sie meldeten ihn an die finnische Transport- und Kommunikationsbehörde, um OpenSSL zu informieren, was aber in der Zwischenzeit bereits geschehen war.

Ein Ingenieur des finnischen Cybersicherheitsunternehmens Synopsys Software Integrity Group nannte den Fehler „Heart Bleed“ und richtete eine spezielle Website ein, um die Öffentlichkeit zu informieren. 

Wie der Fehler auftrat

OpenSSL ist eine der bekanntesten SSL-Implementierungen, die es Systemen ermöglicht, mit der SSL-Verschlüsselungstechnologie zu kommunizieren. Das Open-Source-Projekt gibt es seit 1998 und hat große Popularität erlangt. Es wird größtenteils von Freiwilligen entwickelt, wobei ein Minimum an ständigen aktiven Entwicklern an Bord ist, die die Beiträge der Entwicklergemeinschaft zum Projekt überprüfen.  

Der 31-jährige deutsche Entwickler Robin Seggelmann fügte Ende 2011 einer experimentellen Version von OpenSSL die fehlerhafte Heartbeat-Funktion hinzu, bei der ein Validierungsprozess für eine Variable mit einer bestimmten Länge fehlte. Die von ihm eingereichten Funktionen durchliefen dann die OpenSSL-Prüfung, aber auch dort wurde der fehlerhafte Code nicht entdeckt.  

Die verwundbaren Versionen von OpenSSL gab es bereits seit mehr als zwei Jahren – seit März 2012 – bevor der Fehler entdeckt und bekannt gegeben wurde. Daher waren Systeme, auf denen frühere Versionen von OpenSSL (vor 1.0.1) liefen, nicht anfällig. 

Im Jahr 2014 wurden zwei weitere schwerwiegende Schwachstellen in SSL entdeckt, und zwar in der SSL-Implementierung von Apple und einer weiteren, die von Open-Source-Betriebssystemen verwendet wird.  

Auswirkungen

Die Auswirkungen des Heartbleed-Fehlers sind weit verbreitet und werden daher als kritisch eingestuft. Verbraucher-Websites, die OpenSSL verwenden, zeigen ein „Schloss“-Symbol neben der Adresse und ein „s“ in der Webadresse (am Ende von „https“) an. Es bedeutet, dass die Website verschlüsselt ist und private Daten schützt.

Im April 2014 machten die Open-Source-Webserver Apache und Nginx, die OpenSSL verwenden, zwei Drittel des Marktanteils aller aktiven Websites im Internet aus. Dies vermittelt einen Eindruck von der enormen Tragweite der Heartbleed-Schwachstelle. Sie betraf nicht nur digitale Unternehmen, sondern auch öffentliche Einrichtungen wie die kanadische Steuerbehörde. 

Da Angriffe keine Spuren in den Protokollen hinterlassen, sind die Erkennung von Eindringlingen und die Abschätzung der tatsächlichen Ausnutzungsversuche und Erfolge des Heartbleed-Bugs schwierig. Außerdem sind die Nutzer in der Lage, gezielte Schutzmaßnahmen zu ergreifen, da das Problem bei anfälligen Servern lag. Zunächst mussten die Benutzer jedoch Updates installieren und Passwörter ändern, um sicherzustellen, dass ihre Anmeldedaten nicht gestohlen werden, wenn der Fehler in einem System behoben wurde.

Maßnahmen nach der Entdeckung

Infolge dieses kritischen Fehlers unternahmen Digitalunternehmen und die Internetgemeinschaft insgesamt direkte Schritte, um ähnliche Sicherheitslücken zu schließen. 

Über die Core Infrastructure Initiative der gemeinnützigen Linux Foundation wurde mit der Mittelbeschaffung begonnen. Ziel der Mittel war es, weit verbreitete Open-Source-Software wie OpenSSL zu unterstützen, für die es keine Finanzierung gab. Zu den Spendern gehörten unter anderem Amazon, Microsoft, Google und Facebook. 

Auch Hewlett-Packard hatte eine eigene Cybersicherheitsinitiative.

Testen Sie unseren automatischen Heartbleed-Schwachstellen-Scanner

Wie Sie Heartbleed verhindern können

Folgen Sie diesem Leitfaden, um den Heartbleed-Angriff zu verhindern:

OpenSSL

Aktualisieren Sie OpenSSL auf die neueste Version. Von den folgenden Versionen ist bekannt, dass sie die Heartbleed-Schwachstelle behoben haben:

  • OpenSSL 1.0.1g
  • OpenSSL 1.0.0 (nicht betroffen)
  • OpenSSL 0.9.8 (nicht betroffen)

Führen Sie z.B. aus:

apt-get update; apt-get upgrade # Debian / Ubuntu
yum aktualisieren # RHeL / CentOS
pacman -Syu # Arch Linux

Dieser Schritt ist wichtig, denn wenn Sie verwundbare Versionen von OpenSSL verwenden, bleibt das Risiko von Angriffen bestehen. 

Möchten Sie die Sicherheit Ihrer Webanwendung oder API überprüfen? Dann können Sie die Heartbleed Schwachstellenprüfungssoftware von Crashtest Security ausprobieren, um Schwachstellen in der Cybersicherheit im Handumdrehen zu erkennen.

Präventionsleitfaden für SSL/TLS-Schwachstellen

Leitfaden

Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.

Mehr erfahren

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit http://example.com
Wir scannen derzeit http://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 27/05/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Ihren Bericht anfordern
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.