Heartbleed-Sicherheitslücke noch nicht beseitigt

Eine Woche nach Bekanntwerden der Internet-Sicherheitslücke „Heartbleed“ sind einige tausend Webserver in Österreich noch immer nicht gesichert. Das hat ein Check der Datenschutzorganisation Arge Daten ergeben. Betroffen sind private Unternehmen, aber auch öffentliche Einrichtungen von Bund, Ländern und Gemeinden.

Gute Nachricht: Bei den Banken wurde keine Sicherheitslücke gefunden. Die schlechte: Einige tausend österreichische Webserver haben noch nicht auf die Sicherheitslücke bei der Verschlüsselung von Internetseiten reagiert, sagt Hans Zeger von der Arge Daten: „Das betrifft zum Beispiel Websieten, die diese sogenannte ‚HTTPS-Verschlüsselung‘ haben. Es kann aber auch firmeninterne Kommunikation betreffen.“

Die Lücke ist deswegen so unangenehm, weil sie gerade den vermeintlich sicheren Datenverkehr trifft - genau dort, wo verschlüsselt kommuniziert wird, kann man die Passwörter herauslesen, sagt Zeger. Auch das österreichische nationale Computersicherheitsteam cert.at hat die Heartbleed-Lücke überprüft. Während vergangene Woche noch über 7.000 Systeme in Österreich als potenziell verwundbar galten, sind es derzeit um zwei Drittel weniger, sagt Leon Aaron Kaplan von cert.at.

Vor allem kleine Server betroffen

Der Grund: Es gibt Systeme, die nicht oder nicht intensiv gewartet werden, bestätigt auch Hans Zeger. Allerdings ist die Zahl der unsicheren Server international natürlich noch deutlich höher - und das betrifft wiederum alle Österreicher, die surfen. Das Problem sind insbesondere die kleinen Sever, so Kaplan.

Warnung für betroffene Betreiber

In Österreich besteht laut Datenschutzgesetz übrigens die Verpflichtung zur Beseitigung der Sicherheitslücke. Wer das nicht tut, hat Verwaltungsstrafen zu befürchten - und ist schadenersatzpflichtig. cert.at wird die betroffenen Betreiber nun aktiv warnen.

Sicherheitslücke in OpenSSL: Sind Deine Daten sicher?

Mehr zum Thema:

Arge Daten
cert.at