Wer ist davon betroffen?

Die Lücke klafft in einer Software namens OpenSSL. OpenSSL ist einer der Baukästen für das Sicherheitsprotokoll SSL, das Daten auf dem Weg durchs Netz schützen soll. SSL wird von einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen genutzt. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet. Auch das macht die Schwachstelle so gravierend. Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL. Sicherheitsexperte Bruce Schneier spricht von einem «katastrophalen Fehler».

Wo liegt die Schwachstelle?

Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion «Heartbeat», Herzschlag.

Wie kann die Schwachstelle ausgenutzt werden?