US-Geheimdienst nutzte laut Bericht schon lange Internet-Leck aus
(Keystone-SDA) Dia US-Geheimdienst NSA hat die jüngst öffentlich gewordene Sicherheitslücke im Internet laut einem Medienbericht seit langem systematisch ausgenutzt. Die Schwachstelle in der Verschlüsselungssoftware sei dem Geheimdienst seit «mindestens zwei Jahren» bekannt gewesen.
Das schrieb die Finanznachrichtenagentur Bloomberg am Freitagabend unter Berufung auf zwei informierte Personen. Dies würde bedeuten, dass die Lücke der NSA praktisch von Beginn an offenstand.
Die erst diese Woche öffentlich gewordene Schwachstelle bei der Sicherheitssoftware OpenSSL , die auf den Namen «Heartbleed» getauft wurde, sorgt dafür, dass Angreifer Verschlüsselung aushebeln und die vermeintlich geschützten Daten abgreifen können.
Weitgehende Entwarnung in der Schweiz
In der Schweiz gab die Melde- und Analysestelle Informationssicherheit des Bundes (MELANI) unterdessen weitgehende Entwarnung bei der Datenermittlung. Vor zwei Tagen hatte MELANI wegen des Lecks bei der Sicherheitssoftware OpenSSL zur Zurückhaltung aufgerufen.
Die Empfehlung, wenn möglich keine sensiblen Daten im Internet zu übermitteln, sei bis Freitag Mittag ausgesprochen gewesen, sagte der stellvertretende MELANI-Leiter Max Klaus am Freitagnachmittag der Nachrichtenagentur sda: «Viele Grosskonzerne haben uns signalisiert, dass die Lücke inzwischen geschlossen sei. Risiken bestehen natürlich immer, zum Beispiel bei kleineren Onlineanbietern.»
Grundsätzlich seien sehr viele Online-Dienstleistungen, die die Eingabe von Passwörtern oder Kreditkartennummern erforderten, gefährdet gewesen, sagte Klaus weiter. Dazu zähle das e-Banking.
Klaus präzisierte aber auch Angaben, die er am Mittwoch zu Online-Bankgeschäften gemacht hatte: «Hier haben wir die Lage von Anfang an weniger dramatisch eingeschätzt, weil beim e-Banking noch weitere Faktoren wie etwa eine Vertragsnummer, ein per SMS zugestellter Code oder ähnliches erforderlich sind.»
MELANI hat die Internetnutzer aufgerufen, alle Passwörter für die fraglichen Dienste (Surfen, eMail, Cloud-Dienste, VPN, etc.) zu ändern, sobald die Provider die Sicherheitslücke geschlossen haben. Grundsätzlich sollten auch für alle Dienste unterschiedliche Passwörter verwendet werden.