Bundesamt warnt

"Heartbleed"-Sicherheitslücke noch nicht überall geschlossen

Einige Internetdienste haben die gravierende Sicherheitslücke "Heartbleed" auch nach einer Woche noch nicht geschlossen.

Das betreffe besonders kleinere Webseiten, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn am Mittwoch. Einzelne Dienste nannte die Behörde nicht. Der schwerwiegende Fehler in der Verschlüsselungssoftware OpenSSL erlaubt es Angreifern, Daten von Webservern auszulesen. Das können Passwörter sein oder Informationen, die eigentlich zum Schutz von Daten gegen Ausspähen genutzt werden.

Die Lücke war vor gut einer Woche bekannt geworden. Sie hatte unter Sicherheitsexperten für Aufruhr gesorgt. Um sie zu schließen, müssen Betreiber von Webdiensten eine neue Version von OpenSSL auf ihren Servern installieren. Das hätten viele kleine Anbieter bisher versäumt, warnte das BSI.

Das sei besonders kritisch, denn Angreifer hätten sich mittlerweile gezielt auf die Suche nach verwundbaren Diensten begeben. Besonders E-Mail-Dienste würden ins Visier genommen. Das BSI empfahl daher, Server für E-Mails, Video- oder Telefonkonferenzen auf die Lücke zu überprüfen und sie gegebenenfalls zu schließen. Auch in manchen Routern, die eine Verbindung ins Internet herstellen, sei der Fehler noch zu finden. Sobald betroffene Online-Dienste die Lücke geschlossen haben, sollten Verbraucher ihre Passwörter ändern, raten Experten. (dpa/hal)