Passwörter in Gefahr - was nun?
Durch Heartbleed sind theoretisch schon wieder viele Millionen Passwörter in Gefahr. Sicherheitsexperten raten dazu, alle zu ändern. heise-Security-Chefredakteur Jürgen Schmidt schätzt das anders ein.
Ich lass mich nur ungern als Sicherheitsexperten bezeichnen. Denn wenn es nach denen geht, müssten wir jetzt wegen Heartbleed so gut wie all unsere Passwörter ändern – mit etwas Pech schon zum zweiten Mal innerhalb einer Woche.
Fakt ist, dass man auf verwundbaren Servern Passwörter von Anwendern ernten konnte; wir haben bei unseren Tests betroffener Server selber Benutzernamen und Passwörter im Klartext gesehen. Und verwundbar war die halbe Internet-Welt – eine Liste der zumindest zeitweise anfälligen Dienste liest sich wie ein Who-is-Who des Internet. Einzige Einschränkung: Man kann nicht gezielt das Passwort eines bestimmten Users klauen, sondern muss das nehmen, was der angreifbare Server grade ausspuckt.
Auf der anderen Seite gibt es bislang keine Hinweise auf gezielten Missbrauch der Lücke. Es kann natürlich sein, dass Kriminelle und Geheimdienste die Gunst der Stunde genutzt haben, und Passwörter in großem Stil geerntet haben. Aber natürlich hängen die das dann auch nicht an die große Glocke. Wie groß diese Gefahr also letztlich ist, lässt sich nur ganz schwer beurteilen. Wer sie wirklich ausschließen will, der muss tatsächlich jetzt seine Passwörter ändern.
Aber das Ändern von Passwörtern ist mit beträchtlichem Aufwand verbunden. Und vielen Sicherheitsexperten ist offenbar nicht bewusst, dass ein präventiver Aufruf an alle Internet-Nutzer, ihre Passwörter zu ändern, durchaus auch Schaden anrichtet. Rechnet man allein die dafür erforderliche Zeit hoch, kommen da sehr schnell viele Millionen Stunden zusammen, die man auch für etwas Produktives hätte nutzen können. Auf der sicheren Seite ist damit vor allem der Sicherheitsexperte. Der setzt sich mit einer pauschalen Warnung nicht der Gefahr aus, er hätte ein Risiko verharmlost. Den Ärger damit haben jedoch Sie am Hals.
Ändern oder nicht?
Ich fürchte, das muss letztlich jeder selber entscheiden. Und das am besten auch nicht pauschal, sondern in Abwägung dessen, was an dem Passwort hängt – welchen Schaden also ein Missbrauch des Accounts bedeutet. Wenn dort Kontodaten hinterlegt sind, hat das ein anderes Gewicht als ein Foren-Account. Ich selber bin eher faul als ängstlich – und werde bei den meisten meiner Passwörter folglich erst mal abwarten und nur dann aktiv werden, wenn es konkrete Hinweise auf ein reale Gefahr für sie gibt. Und Sie?
P.S.: Der Heise-Server war übrigens durch eine glückliche Fügung nicht betroffen. (ju)
