Der Heartbleed-Fehler und die dadurch verursachte Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL sind noch nicht ausgestanden. Experten der Universität in Michigan haben das Internet nach Geräten durchsucht, die sich durch Ausnutzung der Schwachstelle hacken lassen.
Ausfindig gemacht haben die Experten unzählige anfällige Router, Drucker-Server, Firewalls, Video- und Überwachungskameras, Cloudspeicher und weitere Geräte. Während die allermeisten Internetseiten bereits Sicherheitsupdates installiert haben, herrscht beim Internet der Dinge noch großer Nachholbedarf.
Der Informatiker Nicholas Weaver von der Universität von Kalifornien in Berkeley nennt die Zahl der betroffenen Geräte im höchsten Grade verstörend. Durch den Heartbleed-Fehler in Geräten sind sozusagen die Ränder des Internet durchlässig, also genau da, wo das Netz in unser tägliches Leben eingreift.
Firewalls, Router, Druck-Server und Video-Systeme
Besonders brisant ist die OpenSSL-Sicherheitslücke, wenn sie Geräte anfällig macht, die eigentlich erhöhte Sicherheit bieten sollen, also Router und Firewall-Lösungen zum Beispiel. Apple hat bereits Patches für zwei betroffene WLAN-Router herausgegeben. Nach der Auswertung ihres groß angelegten Scans von betroffenen Geräten verzeichnen die Sicherheitsexperten aus Michigan aber eine lange Liste, auf der sich Cloudspeicher von Western Digital, Drucker von HP, ein Videokonferenz-System von Polycom, Firewalls von WatchGuard und Speicher-Lösungen von Synology finden.
FortiGate ist eine angreifbare Firewall vom Anbieter Fortinet und ein gutes Beispiel dafür, wie eine fehlerhafte Sicherheitslösung mehr Daten preisgeben kann, als sie ursprünglich schützen soll. Der Hersteller hat die Anfälligkeit bestätigt und gibt eine Anleitung zur Ausbesserung. Ein Update ist aber nur manuell möglich.
Nicholas Weaver konnte über das Internet etliche Drucker-Modelle ermitteln, welche auf den Heartbleed-Fehler reagierten, darunter einige des Herstellers HP. Ein Sprecher von HP gab an, das Unternehmen arbeite an einem Firmware-Update, die Zahl der betroffenen Modelle sei klein.
Wie können sich Anwender schützen?
Wie betroffene Internetseiten auch, müssen viele der anfälligen Systeme und Geräte manuell von den Betreibern aktualisiert werden. Heimanwender sollten aber überlegen, welche Hardware mit Internetzugang sie zu Hause betreiben. Dazu können zählen unter anderem: Internet-Router, Firewall-Lösungen, Netzwerkfestplatten, WLAN-Drucker, Internetradios, Netzwerkplayer, Smart-TVs sowie intelligente Thermostate und Wetterstationen.
In den meisten Fällen ist eine Aktualisierung der Firmware des Gerätes nicht automatisch möglich. Die Installation eines Updates ist je nach Hardware unterschiedlich, eine Auseinandersetzung mit dem Handbuch oder einer entsprechenden Anleitung ist häufig erforderlich. Die Internetseiten des jeweiligen Herstellers können weiterhelfen, auch bei der Suche nach einem verfügbaren Software-Update.
Die gute Nachricht: Weaver und die Informatiker aus Michigan haben auch festgestellt, dass ein Großteil der Geräte, auf denen OpenSSL zum Einsatz kommt, nicht für den Heartbleed-Fehler anfällig sind. Entweder, weil sie eine fehlerfreie Version einsetzen, oder weil das fehlerhafte Modul nicht aktiviert ist.
Passende Artikel
Quelle: Wired.com
