Tag: Heartbleed

Heartbleed: Ist mein Android-Handy sicher?

Android leidet ebenfalls unter der Heartbleed-Plage, auch dem Smartphone können daher Daten geraubt werden. Im folgenden Artikel zeigen wir, wie man herausfindet, ob das eigene Smartphone betroffen ist.

Heartbleed ist eine Sicherheitslücke, die die “sichere” Kommunikation, also Seiten mit einem Sicherheitsschloss, angreift. Auch Android benutzt dieses Sicherheitsschloss, doch nur die Version 4.1.1 ist gegen solche Attacken anfällig.

Wenn das eigene Smartphone betroffen ist, kann es passieren, dass eine Malware-Anwendung die privaten Daten liest. Da man nicht weiß, wie groß die Wahrscheinlichkeit hierzu ist, sollte man schnell handeln.

Ob das eigene Android in Gefahr ist, überprüft man am einfachsten mit dem Heartbleed Sicherheit Scanner oder auch Heartbleed Detector. Hier eine kurze Erklärung, wie man diesen bedient und was man machen kann, wenn sich der Verdacht bestätigt.

1. Heartbleed Sicherheit Scanner installieren

Heartbleed Sicherheit Scanner ist eine kostenlose App. Die Macher Lookout sind auf Sicherheitsanwendungen für Android spezialisiert. Das Herunterladen geht schnell, mit einem Klick hier startet man den Download.

Heratbleed Security Scanner

2. Den Heartbleed-Test auf Smartphone oder Tablet durchführen

Der Heartbleed Security Scanners startet direkt beim Öffnen mit dem Scan. Ist das Android sicher, erscheint am Ende ein grünes Symbol (das gelbe ist nicht wichtig):

Heratbleed Security Scanner: Everything is OK

Ist das Android-Smartphone anfällig und in Gefahr erscheint am Ende ein rotes Symbol:

Heratbleed Security Scanner: Device vulnerable

Erscheint das grüne Symbol, kann man aufatmen. Wird jedoch das rote Symbol angezeigt, muss man mit Punkt 3 fortfahren.

3. Android updaten, wenn das Testergebnis “rot” ausfällt

Google hat die Smartphone- und Tablethersteller bereits benachrichtigt, dass sie für Android 4.1.1 einen Patch anwenden, der die Sicherheitsprobleme mit Heartbleed löst. Wir müssen also nur auf das Update warten und es herunterladen.

Und wenn das Update nicht kommt? Dann gibt es noch eine zweite Möglichkeit, nämlich eine aktuellere Androidversion zu installieren. Das ist zwar nicht einfach und ein bisschen riskant, aber mit dem CyanogenMod Installer dauert es nur zehn Minuten.

Ein theoretisches Risiko, das man aber nicht auf die leichte Schulter nehmen sollte

Es ist zwar nicht sehr wahrscheinlich, dass die Sicherheitslücke sofort durchbrochen wird, wer allerdings im Besitz eines Android 4.1.1 (Jelly Bean) ist, hat jetzt wahrlich allen Grund zu einem Update. Die Möglichkeiten sind viele und reichen vom ROM-Wechsel bis zum Auswechseln des Handys.

Originalartikel auf Spanisch

Download

Mehr zum Thema

Android Launcher Sicherheitslücke, WhatsApp Messenger, BSI warnt vor Phishing-Mails

Eine Sicherheitslücke in Android können Angreifer zum Phishing ausnutzen, WhatsApp Mesenger ist die am häufigsten verwendete Android-App in Deutschland und das BSI warnt vor einer Welle von Phishing-E-Mails – der Nachrichtenüberblick.

  • Android Launcher Sicherheitslücke: Angreifer können eine Sicherheitslücke in den Berechtigungen des Android-Launchers zum Phishing ausnutzen. Eine App könnte Icons auf dem Homescreen derart verändern, dass sie auf eine präparierte Internetseite weiterleiten, auf der dann Nutzerdaten ausgespäht werden.
  • WhatsApp Messenger: Deutsche Android-Nutzer verwenden als häufigste App WhatsApp Messenger. Zu diesem Ergebnis kam das Bremer Forschungsprojekt NuPEx mithilfe einer App, die das Nutzerverhalten aufzeichnete. Die weiteren Plätze belegen Kontakte, Internet, Facebook, SMS-Dienste und Google Play.
  • BSI warnt vor Phishing-Mails: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor gefälschten E-Mails. Die Fälschungen tragen das BSI als Absender und werfen dem Empfänger Rechtsverstöße vor und verlinken ein Dokument zum Herunterladen. Das “echte” BSI empfiehlt, die E-Mails sofort zu löschen.
  • Mac OS X 10.9.3: Apple verteilt eine neue Beta-Version von Mac OS X Mavericks 10.9.3 beta an Entwickler. Apple bietet um Feedback zu den Grafik-Treibern: Die neue Version bringt Unterstützung für den sogenannten Retina-Modus, um MacBook Pro-Geräte an externe 4K-Monitore anzuschließen.

Updates

  • Komoot: Die Web-Version der App zum Planen von eigenen Touren hat ein großes Update erhalten. Die Karte wurde komplett erneuert und passt sich jetzt auf mobilen Geräten automatisch der Bildschirmgröße an.

Spiele

  • Quizduell für Windows Phone: Nach dem großen Erfolg der iOS-Version und Android-App gibt es jetzt auch Quizduell für Windows Phone. Wie gewohnt können Quiz-Süchtige gegen Zufallsgegner oder Facebook-Freunde antreten. Das Design ist speziell an Windows Phone angepasst.
  • League of Legends: Der Hersteller Riot Games hat einen Patch für League of Legends veröffentlicht, um das Spiel mit Bots zu verbessern. Das Spielverhalten der virtuellen Gegner soll damit mehr dem von Menschen ähneln und somit einen besseren Trainingseffekt bieten.
  • Neuer Borderlands-Titel: Die neue Ausgabe von Borderlands mit dem Titel Borderlands: The Pre-Sequel soll nicht ganz so groß werden wie Borderlands 2. Hersteller Gearbox Software hat bekannt gegeben, den Preis des Spiels der Größe anpassen zu wollen. Das neue Spiel ist zeitlich zwischen dem ersten und zweiten Teil angesiedelt.
  • Call of Duty: Ghosts: In Kürze wird Snoop Dogg zum Kill-Ansager bei Call of Duty: Ghosts. In Multiplayer-Spielern gibt es zu jedem Abschuss einen Spruch des Rappers. Die Spielerweiterung mit Snoop Dogg erscheint am 22. April auf Xbox Live, andere Plattformen sollen bald folgen.

Heartbleed: Wie ich meine 14 wichtigsten Passwörter in 19 Minuten änderte

Die am 7. April aufgedeckte Sicherheitslücke Heartbleed hat das ganze Internet in Aufruhr versetzt. Zwei Jahre ermöglichte die Lücke im Verschlüsselungssystem, dass Angreifer unter Umständen meine Nutzerdaten geklaut haben.

In seinem Artikel Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher betont unser Sicherheitsexperte die Wichtigkeit, jetzt die eigenen Passwörter zu ändern. Heute habe ich daher meine 14 wichtigsten Passwörter geändert. Jede Internetseite erhielt ein eigenes, kryptisches und sicheres Kennwort. Und für alles zusammen habe ich gerade einmal 19 Minuten (und 9,34 Sekunden) benötigt. Wie ich das so schnell geschafft habe, beschreibt dieser Artikel.

Ein Passwort für alle?

Als Mac-Nutzer benutzte ich seit mehr als vier Jahren 1Password. 1Password ist ein Passwort-Manager, den es für Mac und Windows gibt. Darüber hinaus sind mobile Apps für iOS und Android erhältlich. Auch gibt es Plug-ins für alle gängigen Browser.

Ein Passwort-Manager macht nichts anders als eine Internetseiten und die dazugehörigen Login-Daten in eine Liste zu schreiben. Die Liste wird im Fall von 1Password in eine AES-256 verschlüsselte Datenbank gespeichert die man nur mit einem von mir gewählten Kennwort entschlüsseln kann. Mit nur einem Passwort habe ich so alle meine anderen Passwörter dank einer Dropbox-Synchronisation immer mit dabei (Dropbox-Synchronisation am Beispiel von KeePass erklärt dieser Artikel).

Welche Passwörter sollte ich ändern?

Im Verlauf der vergangenen Woche habe ich eine Excel-Tabelle mit den Internetseiten erstellt, die ich jeden Tag nutze. Am Ende herausgekommen sind die drei großen: Google, Facebook und Twitter. Außerdem nutzte ich regelmäßig Xing und LinkedIn sowie meine beiden E-Mail-Anbieter Posteo und web.de, meine To-Do-Liste Wunderlist und meine Bankkonten bei drei verschiedenen Banken. Auch die Kennwörter für Dropbox und meine Leseliste bei getpocket.com standen auf der Liste.

Unser News-Team hat zusammengestellt, welche populären Dienste von der Heartbleed-Sicherheitslücke betroffen sind.

Wichtig: Ein neues Passwort ist erst sicher, nachdem die betroffene Seite auch die Sicherheitslücke behoben hat. Bis es soweit ist, sollte man die Seite vermeiden.

14 Passwörter in 19 Minuten

In meinem Fall waren nicht alle Dienste von der Lücke betroffen, aber ich bin heute auf Nummer sicher gegangenen und habe alle Passwörter in einem Rutsch geändert. 19 Minuten und 9,34 Sekunden habe ich für die 14 Internetseiten benötigt. Das es so schnell ging, verdanke ich meinem Passwort-Manager.

1Password generiert sichere Passwörter ganz automatisch.

Das zeitaufwendigste Unterfangen meines Passwort-Sprints war, den jeweiligen Menü-Punkt auf den Internetseiten zu finden. Anschließend ging alles ganz einfach. Dank des 1Password Browser-Plug-ins in meinem Firefox. Das Plug-in hält nicht nur mein bisheriges Passwort bereit, sondern erstellt auch mit einem eingebauten Generator neue, sichere Passwörter.

Generierte Passwörter speichert man mit einem Klick in der Zwischenablage.Der eingebaute Passwort-Generator erstellt sichere Kennwörter und fügt sie automatisch in das Passwort-Feld ein.

So bin ich vorgegangen

Für das gesamte Unterfangen musste ich meinen Internetbrowser nicht einmal verlassen und alle Schritte passieren direkt im Browser Plug-in von 1Password und auf der Internetseite, deren Passwort ich gerade ändere.

  1. Ich habe das alte Passwort mit einem Klick in die Zwischenablage kopiert und in das passende Feld bei der Passwort-Änderung eingefügt.
  2. Anschließend habe mit dem Passwortgenerator ein neues, sicheres Kennwort erstellt und mit einem Klick auf Fill automatisch einfügen lassen.
  3. Nach einem Klick auf Kennwort ändern habe ich wieder das 1Password-Plug-in geöffnet und im Generator in View password history das neue Kennwort mit einem Klick in die Zwischenablage gespeichert.
  4. Immer noch im Plug-in habe ich nun im Account-Bereich den kleinen Pfeil neben meinem Account gedrückt und dann auf Edit geklickt. Im Passwort-Feld musste ich nun lediglich das alte Passwort entfernen und durch das neue, welches bereits in der Zwischenablage ist, mit einem einfachen Strg + V ersetzen.
  5. Ein Klick auf Save und ich konnte zur nächsten Seite weiter gehen.

Das 1Password-Plug-in kann Passwörter auch in der Datenbank ändern.Mit wenigen Klicks ändern man am Ende noch das Passwort im Passwort-Manager. Den Browser musste ich während des gesamten Vorgangs nicht verlassen.

Wie geht es weiter?

Heartbleed hat mir gezeigt, wie wichtig es ist, einen Passwort-Manager zu benutzen. Jetzt heißt es abwarten. Denn noch nicht alle Dienste haben die Sicherheitslücke behoben. Meine Excel-Tabelle hilft mir dabei, zu beobachten, wo ich bereits meine Passwörter geändert habe und in den nächsten Wochen werde ich wohl regelmäßig weitere Passwörter ändern.

Es muss nicht 1Password sein

Auch wenn ich in meinem persönlichen Beispiel 1Password nutze, es gibt auch andere, günstigere oder kostenlose Lösungen wie PasswordBox, LastPass oder KeePass. Am Ende sollte man die Lösung wählen, die in das eigene Budget passt und den notwendigen Komfort bietet. Wichtig ist meiner Meinung lediglich, einen Passwort-Manager zu benutzen.

Weitere Artikel zum Thema

OpenSSL-Sicherheitslücke: Sicherheitsexperten beantworten wichtige Fragen zum Heartbleed-Fehler

Nach wie vor verunsichert der Heartbleed-Fehler Internetnutzer. Welche Internetseiten sind betroffen? Müssen Anwender ihre Passwörter ändern? Wird die Gefahr unnötig hochgespielt? Wir haben Sicherheitsexperten um ihre Ratschläge und Meinungen zur aktuellen Sicherheitslücke gebeten.

Softonic-Sicherheitsexperte Fabrizio Ferri sprach mit Geoffroy Couprie von TextSecure und Lorenzo Martínez Rodríguez von Securízame. Wir haben die Antworten der beiden Sicherheitsexperten zu häufigen Anwender-Fragen bezüglich des Heartbleed-Fehlers zusammengefasst. (Die Hervorhebungen dienen der Betonung wichtiger Punkte und geben unsere Dringlichkeitseinschätzung wieder).

Wird die Heartbleed-Gefahr in den Medien übertrieben oder heruntergespielt?

Couprie: Die Gefahr wird nicht aufgebauscht. Es handelt sich um den seltenen Fall, in dem Sicherheitstechnologie durch ihren Einsatz die Dinge verschlimmert. Aber das Ausmaß des Fehlers wird allgemein unterschätzt. Viele Unternehmen haben fälschlicherweise angenommen, nicht betroffen zu sein.

Rodríguez: Meiner Meinung nach hatte die Presse wenig Einfluss auf einen Fall dieses Ausmaßes. Selbst wenn nur fünf Millionen Server betroffen sind, ist das Auslesen von Teilen des Arbeitsspeichers immer noch eine große Sicherheitslücke, da sensible Daten enthalten sein können. Wir haben gesehen, dass es sogar möglich ist, den privaten Schlüssel eines SSL-Zertifikates zu erlangen. Die OpenSSL-Sicherheitslücke erstreckt sich außerdem auf weitere Geräte wie kommerzielle Router und Firewalls.

Was ist die wirkliche Gefahr für Nutzer beim täglichen Surfen im Internet?

Couprie: Der Angriff auf einen Webserver kann Daten offenbaren, die über den Server liefen. Das können Passwörter, Cookies oder alle möglichen anderen, vertraulichen Informationen sein: Kreditkartennummern, Adressen, Telefonnummern. Was den meisten weniger bewusst ist: Auch Endgeräte können betroffen sein, also iPhones und Android-Smartphones. Hier wurden eventuell ebenfalls vertrauliche Dinge preisgegeben.

Rodríguez: Durch das breite Bekanntwerden des Fehlers und dem Zeitfenster zwischen der Veröffentlichung und dem Schließen der Sicherheitslücke sind unsere Daten bei betroffenen Anbietern als nicht sicher einzustufen.

Haben Sie Ihr Passwort auf vom Heartbleed-Fehler betroffenen Seiten geändert?

Couprie: Ja. Das erfordert zwar Zeit, ist aber notwendig. Gleichzeitig ist es ein guter Moment, um auf einen Passwort-Manager umzusteigen, anstatt überall das selbe Passwort zu verwenden oder zu versuchen, sich zwanzig verschiedene zu merken.

Rodríguez: Natürlich! Mashable hat eine zusammenfassende Liste mit vielen betroffenen Seiten veröffentlicht. Der Heartbleed-Fehler betraf mich aber nicht nur als Nutzer, sondern auch geschäftlich: Wir haben unsere Kunden von Securízame durch den dringend notwendigen Prozess der Reaktion begleitet. Die betroffenen Dienste sind ja nicht nur Internetseiten, sondern auch E-Mail-Server und VPN-Lösungen.

Was halten Sie von den Berichten, dass die NSA den Heartbleed-Fehler für Spionagezwecke ausgenutzt hat?

Couprie: Nicht viel. Es hat keine Zweck, sich über die NSA den Kopf zu zerbrechen, wenn sich der Fehler von jedermann ebenso  leicht ausnutzen lässt. Fehler beheben, Anwender in Kenntnis setzen, das Leben geht weiter.

Rodríguez: Wir sind es gewöhnt, uns die NSA als diesen großen Apparat vorzustellen, der über genügend Kapazitäten verfügt, sich das Internet für seine Interessen zunutze zu machen. Daher überrascht mich die Annahme kaum, dass die NSA ihre Finger im Spiel hatte. Wer viele Dienste gleichzeitig kontrollieren will, der greift die Basis dieser Dienste an. Erst vor kurzem habe ich mich skeptisch zu den Sicherheitslücken in Apples GNUTLS-Verschlüsselung geäußert (Artikel auf Spanisch).

Welchen Rat können Sie unseren Lesern geben?

Couprie: Wer auf Online-Dienste angewiesen ist, die bisher noch nicht auf den Heartbleed-Fehler reagiert haben oder ihre Nutzer noch nicht informiert haben, sollte nicht locker lassen, bis die Schwachstelle behoben ist. Oder wechseln Sie zu einem anderen Anbieter. Die Lücke lässt sich schnell schließen – einem Anbieter, der dazu nicht in der Lage ist, sollte man seine Daten nicht anvertrauen.

Rodríguez: Nutzen Sie im Augenblick nur die wichtigsten Dienste, oder solche, die nicht angreifbar sind, entweder weil sie kein OpenSSL verwenden oder den Fehler bereits beseitigt haben. Ändern Sie Ihr Passwort bei Anbietern, nachdem diese OpenSSL auf die fehlerfreie Version aktualisiert haben. Verwenden Sie lange und komplexe Passwörter mithilfe eines Wörterbuchs. Vergeben Sie kein Passwort doppelt, und greifen Sie auf einen Passwort-Manager zurück, wenn Sie sich all die unterschiedlichen Konten nicht merken können. Andere Möglichkeiten, die Sicherheit zu erhöhen, sind die Bestätigung in zwei Schritten und Dienste wie Latch Eleven Paths. Informieren Sie sich in Zukunft über auftretende Sicherheitslücken so schnell wie möglich, um zügig reagieren zu können und das Risiko zu minimieren.

Weiterführende Informationen

Welche bekannten Internetseiten und Anbieter sind oder waren vom Heartbleed-Fehler betroffen? Wir haben eine Übersicht zusammengestellt. Außerdem geben wir ausführliche Informationen, wie Sie Ihre Internetkonten nach der OpenSSL-Sicherheitslücke wieder sicher machen.

Passende Artikel

Probleme mit Windows 8.1 Update 1, Heartbleed-Sicherheitslücke, Einspieler-Modus für Hearthstone

Microsoft behebt Probleme bei der Installation von Windows 8.1 Update 1 mit zwei Patches, der Codenomicon-Chef spricht über die Entdeckung des Heartbleed-Fehlers und Blizzard kündigt einen Einspieler-Modus für das Kartenspiel Hearthstone: Heroes of Warcraft an – der Nachrichtenüberblick.

  • Probleme mit Windows 8.1 Update 1: Microsoft hat zwei Patches für Windows 8.1 Update 1 veröffentlicht. Bei einigen Anwendern bricht die Installation mit einer Fehlermeldung ab, bei anderen lassen sich danach die Microsoft Internet Information Services (IIS) nicht mehr entfernen. Die offiziellen Patches schaffen Abhilfe.
  • Heartbleed-Sicherheitslücke: Der Codenomicon-Chef David Chartier spricht über die Entdeckung des Heartbleed-Fehlers und die OpenSSL-Sicherheitslücke. Wir haben alle wichtigen Informationen für Anwender zusammengefasst.
  • Interaktive Windows Live-Kacheln: Microsoft experimentiert mit interaktiven Kacheln der Windows Modern UI-Oberfläche. Anstatt eine Anwendung öffnen zu müssen, können Anwender innerhalb der Kachel zum Beispiel die Musik wechseln oder eine neue E-Mail lesen.
  • Facebook mit eigener Währung: Die Financial Times berichtet, dass Facebook einen eigenen E-Money-Dienst einrichten will. In Irland steht man angeblich bereits kurz vor der Einführung. Das Bezahlsystem lässt Nutzer Geld auf Facebook einzahlen und an andere transferieren.
  • Türkische Twitter-Sperre: Der türkische Ministerpräsident Erdoğan wirft dem Kurznachrichtendienst Twitter Steuerhinterziehung vor. Nach einer Aufhebung der Twitter-Sperre durch das Verfassungsgericht kündigt der Ministerpräsident neue Schritte gegen den Kurznachrichtendienst an.
  • Design für Google Apps: Nach Screenshot-Leaks der neuen Versionen von Gmail und Google Kalender für Android gibt es jetzt neue Versionen aller Icons der Google Apps. Das neue Design mit dem Codenamen Moonshine ist allgemein flacher und ähnelt dem der Web-Versionen.

Spiele

  • Civilization: Beyond Earth: Die neue Ausgabe von Sid Meiers erfolgreichem Strategiespiel ist im Weltraum angesiedelt. Civilization: Beyond Earth soll im Herbst für PC und Mac erscheinen und bietet neben einer Menge Science-Fiction einen Multiplayer-Modus für bis zu acht Spieler.
  • Hearthstone: Heroes of Warcraft: Das Kartenspiel von Wizard mit World of Warcraft-Figuren erhält einen Einspieler-Modus. Curse of Naxxramas ist eine kostenlose Hearthstone-Spielerweiterung  für iPad, Mac und PC und bringt einen Abenteuermodus für Solospieler sowie neue Karten.
  • Titanfall: Die erste kostenpflichtige Spielerweiterung mit neuen Leveln für Titanfall für PC und Xbox One soll im Mai erscheinen. Die Entwickler von Respawn versprechen auch kostenlose Updates, die neue Spielmodi bringen.
  • The Elder Scrolls Online: Das Online-Rollenspiel The Elder Scrolls Online bricht mit einer Tradition von Massively Online Multiplayer-Spielen und bietet keinen im Spiel integrierten Handel zwischen Spielern. Fans sorgen für Abhilfe und haben eine eigene Tauschplattform geschaffen.

Android-Scan gegen Schadsoftware, Family Guy für Android und iOS, Plattenfirmen verlieren P2P-Klage

Google bietet Android-Nutzern mehr Schutz vor Schadsoftware und scannt installierte Apps permanent im Hintergrund, Family Guy: Mission Sachensuche ist für Android und iOS erschienen und internationale Plattenfirmen verlieren eine Peer-to-Peer-Klage auf 13 Millionen Euro in Spanien – der Nachrichtenüberblick.

  • Google verbessert App-Scannen: Google integriert jetzt das angekündigte Scannen von Android-Apps im Hintergrund. Google Verify Apps gleicht installierte Apps mit einer Datenbank ab und warnt bei einem Fund von Schadsoftware.
  • Twitter Popups im Web: Der Kurznachrichtendienst führt in der Web-Version Popup-Benachrichtigungen ein. Für Ereignisse wie neue Direktnachrichten, Retweets oder Favoriten können Anwender auf Wunsch Popups erhalten, die das direkte Beantworten erleichtern.
  • Heartbleed-Fehler: Ein deutscher Entwickler ist für den Heartbleed-Fehler und die OpenSSL-Sicherheitslücke verantwortlich. Als Reaktion auf Anschuldigungen hat er sich jetzt geäußert und bezeichnet den fehlerhaften Quellcode als Versehen.
  • WhatsApp-Deal mit Facebook: Die Kartellbehörde FTC in den USA hat die Übernahme von WhatsApp durch Facebook gebilligt. Bedingung ist aber, dass WhatsApp sich an die eigenen Versprechen hält. Ohne Zustimmung der Nutzer darf die Messenger-App keine Daten an Facebook weitergeben.
  • Plattenfirmen verlieren P2P-Klage: Auf 13 Millionen Euro verklagten Sony, Universal und Warner Music den P2P-Dienst Bluster, die spanische Ausgabe von Napster. Jetzt fiel das Urteil zugunsten des Entwicklers aus und die Gerichtsentscheidung könnte zum Präzedenzfall für Europa werden.
  • Zugradar der Deutschen Bahn: Bahn-Kunden können jetzt Züge und S-Bahnen per App für Android, iOS und Windows Phone verfolgen. Die Anwendung funktioniert wie die Web-Version des Zugradars und zeigt Standort sowie Ankunfts- und Abfahrtszeiten von Zügen an.
  • Escape from Windows XP: Windows XP ist Geschichte. Oder doch nicht? Ein Gemeinde von hartnäckigen XP-Anwendern hält am betagten Betriebssystem fest. Microsoft will mit dem Browser-Spiel Escape from Windows XP zum Wechsel animieren.

Updates

Spiele

  • Family Guy für Android und iOS: Das Spiel zur TV-Serie ist jetzt für Android und iOS verfügbar. Wie auch bei Die Simpsons: Springfield ist es Aufgabe des Spielers, in Family Guy Mission Sachensuche die Stadt Quahog wieder aufzubauen.
  • Titanfall Patch: Ein großes Update für Titanfall verbessert das Gameplay für PC und Xbox One. Außerdem sind mit der Aktualisierung private Matches mit Freunden möglich.
  • Sim City 4 Deluxe: Die vierte Ausgabe der Städtebau-Simulation ist jetzt für Mac erschienen. Sim City 4 Deluxe bietet einen Detailreichtum, der besonders auf großen Bildschirmen schön zur Geltung kommt.
  • Roller Coaster Tycoon Mobile: Die vierte Ausgabe des Vergnügungspark-Simulators Roller Coaster Tycoon ist jetzt für iOS erschienen. Roller Coaster Tycoon 4 Mobile bietet dem Spieler Missionen und neue Attraktionen für den Park.
  • Age of Empires: Microsoft hat das beliebte Spiel Age of Empires jetzt auch für Windows Phone angekündigt. In der mobilen Ausgabe gibt es eine intuitive Touch-Steuerung, über 100 Helden und die Möglichkeit, Freunde zum Kampf herauszufordern.

Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher

Jahrelang waren die eigenen Online-Konten in Gefahr und niemand wusste davon. Der Grund? Der Heartbleed-Bug. Aber keine Panik. In nur fünf Schritten kann man sich schützen.

Das Sicherheitsschloss in der Adressleiste des Browsers zeigte bis dato an, dass die Verbindung sicher ist, dass die Daten, die zwischen dem eigenen PC und der Website hin- und herwandern verschlüsselt und vor fremden Augen geschützt sind. Ein Tunnel also, der vor Abhörung gefeit ist und den niemand mit konventionellen Methoden durchbrechen kann.

Aber selbst das stärkste Programm ist angreifbar und auch ein Sicherheitsschloss ist nicht immun gegen Sicherheitslücken. Die schlimmste ist zurzeit Heartbleed. Durch den Fehler in der OpenSSL-Struktur kann man den Schlüssel zum Schloss erbeuten und erhält damit Zugriff auf alles, was durch den Tunnel transportiert wird. Das heißt, jeder, der weiß, wie man das Sicherheitsschloss knackt, kann nun die Daten lesen. Und dazu muss der Angreifer sich noch nicht mal im Server verstecken, sondern lediglich eine „spezielle Frage” stellen.

Berechnungen zufolge sind 17,5% der SSL-gesicherten Internetseiten von dem Fehler betroffen. Das bedetuet allerdings nicht, dass diese bereits angegriffen wurden. Die gute Nachricht ist, dass der Fehler bereits überall behoben wird. OpenSSL, das fehlerhafte Sicherheitsschloss, wurde bereits auf die sichere Version 1.0.1g umgestellt, welche den Fehler behebt. Der Schaden ist jedoch bereits passiert und man kann nicht mit Gewissheit sagen, ob Passwörter gestohlen wurden oder nicht. Wir erklären, wie man die eigenen Internetkonten wieder sicher macht.

In fünf Schritten zur Sicherheit

Alle Passwörter sofort auszuwechseln, ist nicht die Lösung, denn solange eine Internetseite noch angreifbar, wird auch das neue Passwort schnell entdeckt. Man sollte daher zunächst überpüfen, ob die benutzten Internetseiten sicher sind, und zwar mit dem Heartbleed Test

  1. Schließen Sie hierzu auf allen Websites oder Apps die Sitzung, indem Sie „Abmelden“ oder „Sitzung schließen“ anklicken.
  2. Überprüfen Sie nun mit dem kostenlosen Heartbleed Test den Status jeder Website.
  3. Ist er grün, kann man ohne bedenken die Seite öffnen und das Passwort gegen ein noch nicht vorher benutztes sicheres austauschen.
  4. Ist er nicht grün, sollte man abwarten und den Test solange durchführen, bis er grün anzeigt.
  5. Sollten Sie E-Mails erhalten, in denen Sie aufgefordert werden, das Passwort zu ändern, tun Sie das. Stellen Sie aber vorher unbedingt sicher, dass es sich um keine falschen E-Mails handelt, die die allgemeine Panik zum Stehlen von Passwörtern nutzen.

Ändern Sie das Passwort nur, wenn der Heartbleed Test grünes Licht dazu gibt.

Wer die Passwörter ändert, sollte nie das gleiche oder ein altes Passwort benutzen. Ratsam ist dagegen der Gebrauch eines Passwort-Managers wie LastPass, PasswordBox oder 1Password. Der Sicherheitscheck von LastPass zeigt auch an, ob man die Passwörter bereits ändern kann oder man noch warten sollte.

LastPass verwaltet nicht nur die Passwörter, sondern zeigt auch an, wann man sie am besten ändert.

Zwei Sicherheitstipps für die Zukunft

Aktivieren Sie, wenn möglich, die Zwei-Wege-Authentifizierung: Ein zusätzlicher Code wird dann beim Login auf das Handy gesendet. Damit wird verhindert, dass jemand auf Ihr Konto zugreifen kann, auch wenn diese Person Ihr Passwort hat. Dies kann man bei GoogleMicrosoftFacebookDropBoxWordPress und vielen anderen Seiten bereits machen.

Und für die Zukunft: Benutzen Sie jedes Passwort nur einmal. So verhindern Sie, dass Angreifer durch ein erschnüffeltes Passwort Zugriff auf andere Internetseiten erhalten. Wie Sie am besten mit Passwörtern umgehen, lesen Sie in unserem Artikel Tipps & Tricks zum Passwortdiebstahl.

Internet wird sicherer

Es gibt aber auch etwas Positives: Durch diesen schwerwiegenden Vorfall wird nämlich die Sicherheit der täglich genutzten Websites und Anwendungen gestärkt und vielen Menschen bewusst, dass bessere Sicherheitsvorkehrungen notwendig sind.

Schützen also auch Sie Ihre Daten mit der Bestätigung in zwei Schritten und einem guten Passwort-Manager.

Was denken Sie über diese Sicherheitskrise?

Mehr zum Thema:

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Der Heartbleed-Fehler wurde schon vielfach zur größten Sicherheitslücke in der Geschichte des Internet erklärt. Ein Fehler in einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL lässt sich zum Ausspähen des verschlüsselten Datenverkehrs ausnutzen. Seit Bekanntwerden der Schwachstelle aktualisieren Webdienste ihre Server. Anhand von Listen können Anwender überprüfen, welche Internetseiten die Sicherheitslücke schon behoben haben und welche eventuell noch betroffen sind.

Passwort erst nach der Fehlerbehebung ändern

Der Fehler lässt sich durch eine Aktualisierung der OpenSSL-Version beheben. Diese Aktualisierung müssen aber die Seitenbetreiber vornehmen. Nutzer können nur kontrollieren, wer dies bereits getan hat, und welche Seiten erst gar nicht betroffen waren. Wichtig ist aber, Passwörter und Zugangsdaten erst nach der Fehlerbehebung zu aktualisieren. Da der Fehler jetzt weit bekannt ist, sollte man das Eingeben von Passwörtern und vertraulichen Informationen auf anfälligen Seiten vermeiden – auch das Ändern der Zugangsdaten. Wir fassen in einer detaillierten Anleitung zusammen, wie Sie Ihre Internetkonten wieder sicher machen.

Google: Fast alle Dienste aktualisiert, nur Android 4.1.1 ist betroffen

Google gibt auf dem Sicherheitsblog des Unternehmens bekannt, dass fast alle Dienste bereits aktualisiert sind. Dazu zählen Gmail, Google Play, die Google Suche, Apps und YouTube. Chrome und ChromeOS sind nicht betroffen. Android ist so gut wie sicher, lediglich die Version 4.1.1 weist die Sicherheitslücke auf. Google hat hier den Softwarepatch bereits fertig gestellt und arbeitet mit Geräteherstellern und Mobilfunkunternehmen zusammen, um die Aktualisierung auszuliefern.

Listen der betroffenen Seiten

Inzwischen haben viele Anbieter bekannte Internetseiten und Portale auf die Schwachstelle geprüft. Mithilfe eines Test-Skripts haben Entwickler auf dem Portal Github eine lange Liste von betroffenen Servern zusammengetragen. Auch die Hersteller des Passwort-Managers LastPass bieten eine Liste an, außerdem stellen sie einen Heartbleed-Test zur eigenen Überprüfung beliebiger Seiten zur Verfügung. Mashable bietet eine Übersicht beliebter sozialer Netzwerke und Portale und zeigt denn aktuellen Status an.

Insgesamt lässt sich nur in etwa abschätzen, wie viele Internetseiten und Server durch den Heartbeat-Fehler angreifbar sind oder waren. OpenSSL kommt auf rund zwei Dritteln aller Internetseiten weltweit zum Einsatz. Die Schwachstelle befindet sich aber im sogenannten Heartbeat-Modul – daher der angelehnte Name Heartbleed. Dieses Modul ist weit weniger verbreitet und betrifft rund 17 Prozent aller SSL-Server. Die Schwachstelle macht aber die Kommunikation eines betroffenen Servers mit geschützten Servern angreifbar.

Sicherheitsexperte von Microsoft arbeitet für die Entdecker des Heartbeat-Fehlers

Sicherheitsexperten von Codenomicon haben den Heartbeat-Fehler entdeckt und eine entsprechende Informationsseite eingerichtet. Server-Administratoren haben kritisiert, dass Codenomicon die Schwachstelle öffentlich publiziert hat, bevor einige Betroffene reagieren konnten. Howard Schmidt, der Aufsichtsratsvorsitzende bei Codenomicon, hatte vorher den Posten des höchsten Sicherheitsbeauftragen, und zwar bei Microsoft. Für Jacob Appelbaum vom Anonymisierungsdienst Tor ist das kein Zufall, ebenso wenig wie der Zeitpunkt der Veröffentlichung.

Der Heartbleed-Fehler bestand seit zwei Jahren, aber genau am 8. April 2014 geht Codenomicon damit an die Öffentlichkeit, mit einer eigenen Internetseite und einem Logo. Zum gleichen Zeitpunkt veröffentlicht Microsoft die letzten Sicherheitsupdates für Windows XP. Howard Schmidt ist nach wie vor Mitglied der Abteilung für Sicherheitsentwicklung von Microsoft.  Aus der Linux-Gemeinde werden daher Stimmen laut, dass die Heartbleed-Bekanntmachung auch die Sicherheit von Linux und Open-Source anschwärzen will.

Passende Artikel

Quelle: Google Online Security Blog | LastPass | Mashable | Techrights | Github

Facebook Messenger-Zwang, Google Kalender-App mit neuem Design, Mailbox-App für Android

Facebook will die Chat-Funktion aus der Facebook-App entfernen und damit zur Installation des Facebook Messenger zwingen, Screenshot-Leaks zeigen die Google Kalender-App mit minimalistischem Design und neuen Funktionen und Dropbox veröffentlicht die Mailbox-App auch für Android und Mac – der Nachrichtenüberblick.

  • Facebook Messenger statt Facebook-Chat: Facebook entfernt die Chat-Funktion aus den mobilen Apps der Plattform. Dadurch soll die Facebook-App an sich schneller werden, während Nutzer von Facebook Messenger von den erweiterten Funktionen der App profitieren.
  • Google Calendar: Nachdem Screenshots einer neuen Oberfläche der Gmail-App aufgetaucht sind, zeigt sich jetzt auch Googles Kalender-App für Android im überarbeiteten Design. Minimalistisch und übersichtlich präsentiert das neue Aussehen Termine und Aufgaben, ergänzt durch neue Funktionen.
  • Heartbleed-Sicherheitslücke: Google hat bekanntgegeben, welche Dienste des Unternehmens schon vor der OpenSSL-Sicherheitslücke Heartbleed geschützt. Von den Android-Versionen ist lediglich 4.1.1 betroffen. Außerdem gibt es neue Listen von betroffenen Seiten.
  • Mailbox-App von Dropbox: Die E-Mail-App Mailbox gibt es zusätzlich zur iPhone-Version jetzt auch für Mac und Android. Die Anwendung lernt vom Nutzer-Verhalten und hilft, mit automatischer Sortierung das Postfach aufzuräumen. Außerdem bietet Mailbox Cloud-Anbindung und geräteübergreifende Synchronisation.
  • Dropbox Carousel: Der Cloudspeicher-Anbieter Dropbox unterstützt bereits die automatische Sicherung von Fotos auf dem Smartphone. Mit Carousel bietet Dropbox jetzt eine App zur praktischen Ansicht der Cloud-Fotos. Bilder lassen sich sortieren und teilen, auch wenn der Empfänger Dropbox nicht verwendet.

Updates

  • Firefox OS 2.0 Vorschau: Mozilla wird die neue Version des mobilen Betriebssystem erst im weiteren Verlauf des Jahres veröffentlichen, schon jetzt zeigt sich aber das neue Design von Firefox OS 2.0.

Spiele

  • Zombie-Spiel H1Z1 ist free-to-play: H1Z1 ist ein Massively Online Multiplayer-Spiel mit Zombies. Das Überlebensspiel soll eine noch größere Welt bekommen als Planetside 2 und von mehreren tausend Spielern gleichzeitig gespielt werden können. H1Z1 soll für PC und später auch für PlayStation 4 erscheinen.
  • Minecraft 1.7.7: Gerade erst hat Mojang Minecraft 1.7.6 veröffentlicht, da kommt schon das nächste Update. Die Aktualisierung auf Version 1.7.7 bringt eine wichtige Fehlerbeseitung und verhindert dadurch Server-Abstürze.
  • Batman: Arkham Origins: Die Spielerweiterung Cold, Cold Heart lässt Batman gegen Mister Freeze antreten. Für den Kampf gegen den eiskalten Bösewicht zieht sich Batman warm an: Ein neuer Heiz-Anzug lässt den Helden im Spiel langsamer agieren. Cold, Cold Heart erscheint am 22. April 2014 für PC, Xbox 360 und PlayStation 3.
  • Goat Simulator: Die Entwickler der virtuellen Ziegenwelt bieten statt kostenpflichtigen Spielerweiterungen Updates für Goat Simulator umsonst an.

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM