Die entdeckte Schwachstelle in der Software OpenSSL ermöglicht es einem Angreifer, den Speicher des betroffenen Servers auszulesen, ohne dabei Spuren zu hinterlassen. Das macht es – zumindest theoretisch – möglich, geheime Schlüssel und Passwörter zu lesen.
Sicher dank mehrerer Komponenten
Die Profis seien nun mit Hochdruck dran, den Fehler zu beheben, sagt SRF-Digitalredaktor Guido Berger. «Es ist nicht ein Fehler, den man auf die leichte Schulter nimmt.»
Doch wegen der aufgedeckten Schwachstelle zu sagen, dass beispielsweise E-Banking jetzt unsicher sei, hält Berger für falsch. «Denn E-Banking ist nie nur durch eine einzige Komponente – in diesem Fall OpenSLL – abgesichert.» Vielmehr handle es sich um ein System aus mehreren Komponenten, die alle zur Sicherheit beitragen.
Banken geben ebenfalls Entwarnung
Ähnlich tönt es bei den Banken: Die Postfinance, die Kreditkartenherausgeberin Viseca, der Börsenbetreiber und Zahlungsabwickler SIX Group und die meisten Banken sind alle potenziell betroffen. Sie haben bereits auf die Warnung der Bundesstelle reagiert. Doch keines der Unternehmen hat bislang Hinweise darauf, dass die Sicherheitslücke tatsächlich für Betrügereien ausgenutzt wurde.
Man nehme die Warnungen aber sehr ernst und habe bereits die empfohlenen Sicherheitsmassnahmen ergriffen, sagen Viseca und Postfinance. Ähnlich tönt es bei der SIX Group. Und die Grossbank UBS beteuert, ihr E-Banking sei gar nicht betroffen.
Software seit zwei Jahren mit Fehler
Andreas Münger von United Security Providers sieht das anders: Ganz so einfach sei das nicht, sagt er. Missbräuche könne man nur schwer feststellen. «Denn wenn eine solche Attacke durchgeführt wird, dann sind keine Spuren ersichtlich.»
Ob jemand vor der Verkündigung des Fehlers in OpenSLL schon Kenntnis davon hatte, ist bisher nicht bekannt. Eingeschlichen hat sich der Fehler aber schon vor rund zwei Jahren. Entdeckt haben ihn eine Sicherheitsfirma namens Codenomicon und Google Security.