Datenübertragung | Sicherheitslücke größer als angenommen

Wenn der "Poodle" beißt

12.12.2014

Bereits Mitte Oktober hatten Experten auf "Poodle" aufmerksam gemacht. Jetzt kam heraus, dass die Verschlüsselungslücke größer ist, als gedacht. Jede zehnte Webseite mit angeblich sicheren Verbindungen ist von ihr betroffen. Auch Seiten wie Pay Pal.

An sich klingt „Poodle“ gar nicht so gefährlich. Hinter dem niedlichen Namen verbirgt sich jedoch eine schwere Sicherheitslücke im Netz. Dabei steht „Poodle“ für „Padding Oracle On Downgraded Legacy Encryption“.

Veralteter Versclüsselungsstandard als Angriffspunkt für „Poodle“

Bereits Mitte Oktober hatten Experten von Google auf die Sicherheitslücke aufmerksam gemacht. Sie betraf den achtzehn Jahre alten Standard SSLv3.0, der zum Teil noch in der Verschlüsselung von Internetverbindungen genutzt wurde. Nach der Warnung hatten die Browserfirmen und Serverbetreiber reagiert und den alten Sicherheitsstandard verbannt. Nun soll nur noch der aktuellere TLS-Standard verwendet werden.

Sicherheitslücke weitervererbt

Adam Langley, Sicherheitsexperte bei Google, hat eine noch weiter reichende Sicherheitslücke entdeckt. Diese betrifft auch den als sicher geltenden TLS-Standard. Offenbar hat die TLS-Version der Serverfirmen F5 und A10 die „Poodle“-Sicherheitslücke vom alten SSLv3.0 Standard geerbt. Und genau diese Server werden von vielen Webseitenbetreibern genutzt. Ivan Ristic vom amerikanischen Sicherheitsunternehmen Qualys geht davon aus, dass circa zehn Prozent der Webseiten betroffen sind, die sichere HTTPS-Verbindungen anbieten. Unter anderem befindet sich darunter auch die Seite des Online-Bezahlsystems PayPal. Unter diesem Link können sie nachsehen, welche Websiten von der Sicherheitslücke betroffen sind.

Was sich hinter der Sicherheitslücke „Poodle“ verbirgt und wie man sich dagegen wehren kann, das hat uns detektor.fm Redakteur Pascal Anselmi zusammengefasst. Zusätzliche Einblicke liefert Jürgen Schmidt von Heise.de.

ist Chefredakteur von heise Security - und sagt: nur die echten App-Stores benutzen.Das Fatale ist, dass die Server mit den Sicherheitslücken auf sehr vielen, vor allem sehr großen Webseiten zum Einsatz kommen und daher sehr viele betroffen sind.Jürgen Schmidtist Chefredakteur bei heise Security.  

Redaktion: Pascal Anselmi