Play

Datenübertragung | Sicherheitslücke größer als angenommen

Wenn der „Poodle“ beißt

Bereits Mitte Oktober hatten Experten auf „Poodle“ aufmerksam gemacht. Jetzt kam heraus, dass die Verschlüsselungslücke größer ist, als gedacht. Jede zehnte Webseite mit angeblich sicheren Verbindungen ist von ihr betroffen. Auch Seiten wie Pay Pal.

An sich klingt „Poodle“ gar nicht so gefährlich. Hinter dem niedlichen Namen verbirgt sich jedoch eine schwere Sicherheitslücke im Netz. Dabei steht „Poodle“ für „Padding Oracle On Downgraded Legacy Encryption“.

Veralteter Versclüsselungsstandard als Angriffspunkt für „Poodle“

Bereits Mitte Oktober hatten Experten von Google auf die Sicherheitslücke aufmerksam gemacht. Sie betraf den achtzehn Jahre alten Standard SSLv3.0, der zum Teil noch in der Verschlüsselung von Internetverbindungen genutzt wurde. Nach der Warnung hatten die Browserfirmen und Serverbetreiber reagiert und den alten Sicherheitsstandard verbannt. Nun soll nur noch der aktuellere TLS-Standard verwendet werden.

Sicherheitslücke weitervererbt

Adam Langley, Sicherheitsexperte bei Google, hat eine noch weiter reichende Sicherheitslücke entdeckt. Diese betrifft auch den als sicher geltenden TLS-Standard. Offenbar hat die TLS-Version der Serverfirmen F5 und A10 die „Poodle“-Sicherheitslücke vom alten SSLv3.0 Standard geerbt. Und genau diese Server werden von vielen Webseitenbetreibern genutzt. Ivan Ristic vom amerikanischen Sicherheitsunternehmen Qualys geht davon aus, dass circa zehn Prozent der Webseiten betroffen sind, die sichere HTTPS-Verbindungen anbieten. Unter anderem befindet sich darunter auch die Seite des Online-Bezahlsystems PayPal. Unter diesem Link können sie nachsehen, welche Websiten von der Sicherheitslücke betroffen sind.

Was sich hinter der Sicherheitslücke „Poodle“ verbirgt und wie man sich dagegen wehren kann, das hat uns detektor.fm Redakteur Pascal Anselmi zusammengefasst. Zusätzliche Einblicke liefert Jürgen Schmidt von Heise.de.

Jürgen Schmidt - ist Chefredakteur bei heise Security.

ist Chefredakteur bei heise Security.
Das Fatale ist, dass die Server mit den Sicherheitslücken auf sehr vielen, vor allem sehr großen Webseiten zum Einsatz kommen und daher sehr viele betroffen sind.Jürgen Schmidt
Was ist die Poodle-Sicherheitslücke? 03:56

Redaktion: Pascal Anselmi

Volles Programm, (aber) null Banner-Werbung

Seit 2009 arbeiten wir bei detektor.fm an der digitalen Zukunft des Radios in Deutschland. Mit unserem Podcast-Radio wollen wir dir authentische Geschichten und hochwertige Inhalte bieten. Du möchtest unsere Themen ohne Banner entdecken? Dann melde dich einmalig an — eingeloggt bekommst du keine Banner-Werbung mehr angezeigt. Danke!

detektor.fm unterstützen

Weg mit der Banner-Werbung?

Als kostenlos zugängliches, unabhängiges Podcast-Radio brauchen wir eure Unterstützung! Die einfachste Form ist eine Anmeldung mit euer Mailadresse auf unserer Webseite. Eingeloggt blenden wir für euch die Bannerwerbung aus. Ihr helft uns schon mit der Anmeldung, das Podcast-Radio detektor.fm weiterzuentwickeln und noch besser zu werden.

Unterstützt uns, in dem ihr euch anmeldet!

Ja, ich will!

Ihr entscheidet!

Keine Lust auf Werbung und Tracking? Dann loggt euch einmalig mit eurer Mailadresse ein. Dann bekommt ihr unsere Inhalte ohne Bannerwerbung.

Einloggen