Lücke noch weit verbreitet

Heartbleed: Firmen müssen User warnen

Teilen

Für betroffene Unternehmen besteht Auskunfts- und Beseitigungspflicht.

Vergangene Woche wurde die Sicherheitslücke " Heartbleed " in der weitverbreiteten Verschlüsselungs-Software OpenSSL bekannt. Laut der ARGE Daten sind davon noch "einige tausend österreichische Webserver" betroffen, hieß es in einer Aussendung. Nun werden betroffene Firmen darauf aufmerksam gemacht, dass sie ihre Nutzer über die Lücke informieren müssen.

Auskunftspflicht
Die Datenschützer wiesen darauf hin, dass betroffene Nutzer laut Gesetz durch den Serverbetreiber über die Lücke verständigt werden müssen. "Das absolute Minimum an Informationspflicht ist die Bekanntgabe der Lücke auf der jeweiligen Website des Betreibers. Wenn Benutzer nur selten eine Website nutzen oder wo besonders hoher Schaden droht, ist zusätzlich eine direkte Verständigung der Betroffenen erforderlich", so Hans Zeger, Obmann der ARGE Daten.

>>>Heartbleed-Lücke: Prüfen Sie Ihre Sicherheit

Beseitigungspflicht
Außerdem besteht die Pflicht zur unverzüglichen Beseitigung der Lücke. Im konkreten Fall ist die Schwachstelle relativ einfach zu beheben, daher müsse sie laut Zeger auch innerhalb eines Tages geschlossen werden. Demnach hätte es bereits seit 9. April keine Server mit dieser Lücke mehr in Österreich geben dürfen, so die Datenschützer. Laut der ARGE Daten drohen Betreibern, die nicht unverzüglich reagieren, neben Schadenersatz auch Verwaltungsstrafen.

Apache-Server
Laut den Datenschützern ist die fehlerhafte Software bei etwa 40 Prozent der in Österreich laufenden Apache-Servern - mit mehr als 100.000 Installationen - installiert. Durch die Lücke sind Passwörter und andere vertrauliche Informationen offen zugänglich. Eine vertrauliche Stichprobenüberprüfung durch eine IT-Sicherheitsfirma am Wochenende zeigt, dass in Österreich einige hundert Server von Behörden, Bundes- und Landesstellen betroffen sind, so ARGE Daten. Auch zahlreiche Gemeinden würden mit unsicheren Serverinstallationen "glänzen".

Fehler im Artikel gefunden? Jetzt melden.

Tools zur Kontrolle der Heartbleed-Lücke

Auf der Internetseite "http://filippo.io/Heartbleed/" kann man die Sicherheit von Ineternetdiensten prüfen. Man muss nur in dem Feld die URL eingeben - wir haben als Beispiel Facebook genommen - und dann auf Go klicken.

Kurze Zeit später erscheint das Ergebnis. Facebook hat die Lücke mittlerweile geschlossen. Mitglieder müssen jetzt nur noch ein neues Passwort wählen und sind wieder sicher.

Die Gratis-App Heartbleed Detector zeigt an, ob und in welchem Umfang Ihr Android-Smartphone von der Lücke betroffen ist.

OE24 Logo
Es gibt neue Nachrichten