Wie BBC News berichtet, wird die schwerwiegende Lücke in OpenSSL, Heartbleed genannt, inzwischen auch zum Kampf gegen kriminelle Hacker eingesetzt: Laut BBC haben IT-Sicherheitsexperten per Heartbleed kriminelle Hacker angegriffen, in dem sie sich Informationen aus Untergrund-Chatrooms besorgten, in denen die Kriminellen mit gestohlenen Daten handelten. Heartbleed habe der BBC zufolge Anti-Malware-Experten den Zugang zu Foren ermöglicht, die sonst sehr schwer zu öffnen gewesen wären.

Experten gehen davon aus, dass der Bug noch viele Jahre eine Herausforderung für die IT-Sicherheit sein wird. Der französische Anti-Malware-Spezialist Steven K. sagte der BBC: "Das Potential dieser Verwundbarkeit für Black-Hat-Dienste ist enorm groß." Heartbleed habe aber auch vielen Hacker-Foren kritische Sicherheitslücken beschert, die sie verwundbar für Angriffs-Tools machen. Steven K. berichtet der BBC, dass er spezielle Tools einsetzt, um geschlossene Foren wie “Darkode“ und “Damagelab” zu attackieren. Darkode sei dank dem Heartbleed-Bug angreifbar geworden und es sei ihm damit gelungen, das Forum zu überwachen.

Paul Mutton, ein Sicherheits-Experte von Netcraft, erklärte, dass die Gefahr durch Heartbleed auch nach der Erkennung weiter bestehe, da viele Websites noch immer nicht die Sicherheitslücken geschlossen hätten, die durch Heartbleed entstanden seien und zum Beispiel ihre kompromittierten Sicherheitszertifikate noch nicht ersetzt hätten. Wird der Private Key des TLS-Zertifikats per Heartbleed abgesaugt, können Kriminelle perfekt aussehende Phishing-Versionen der eigentlichen Website ins Netz stellen.

Auch viele Webbrowser hätten laut Mutton Probleme, die Sicherheitszertifikate von Webseiten richtig zu prüfen. Die Gefahr, die von Heartbleed ausgeht, werde noch für einige Jahre anhalten, so Mutton. Dies gelte auch für Geräte wie Router für Privathaushalte.

Betroffen sind auch Überwachungskameras, moderne Babyphones und Heimnetzwerke, die Heizung und Strom in Häusern überwachen und steuern. Wired hat Ende April in einem Artikel aufgelistet, welche  Systeme durch Heartbleed angreifbar sind – darunter auch Videokonferenz-Anlagen. Auch für Kontrollsysteme von Industrieanlage werden Patches aufgespielt, welche die Gefahren eines Angriffs eindämmen sollen. Genaue Zahlen, wie oft der Heartbleed-Bug ausgenutzt werde, gibt es nicht: Mangels entsprechender Logs passierten die Angriffe vor Bekanntwerden der Schwachstelle im Zweifel ohne dass Serverbetreiber davon etwas mitbekamen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.