Wegen «Heartbleed»: Kanadas Steuerbehörde geht offline

Die Verschlüsselungstechnologie SSL weist einen Sicherheitsfehler auf – genannt «Heartbleed». Kanadas Finanzbehörden haben reagiert und sind vom Netz gegangen. Elektronische Steuererklärungen sind aktuell nicht möglich.

Die Erklärung der kanadischen Finanzbehörden

Bildlegende: Die kanadischen Finanzbehörden gehen vorerst offline. Reuters

Kanadas Steuerbehörden haben ihre Internetseite vom Netz genommen. Grund ist ein Leck bei der Verschlüsselungs-Software «Heartbleed». Heikle Daten auf verschlüsselten Internetseiten können so durch Unbefugte eingesehen werden.

Es handle sich um eine präventive Massnahme, hiess es. Damit ist es vorerst nicht mehr möglich, Steuererklärungen online zu übermitteln. Drei Wochen hätten die Kanadier noch Zeit gehabt, ihre Steuererklärungen für 2013 einzureichen.

Freie Bahn für Hacker

«Heartbleed» ist in einer Version von OpenSSL enthalten, die seit März 2012 angeboten wurde. Angreifer konnten «jegliche Kommunikation der Vergangenheit
und der Zukunft entschlüsseln und nach Belieben vortäuschen, selbst die angesteuerte Webseite zu sein», hiess es auf der Internetseite heartbleed.com, die für den Informationsaustausch über den Software-Fehler eingerichtet wurde.

Hacker konnten unbegrenzt viele Angriffe mit Hilfe der Sicherheitslücke vornehmen und dabei immer weiter Daten stehlen, ohne Spuren zu hinterlassen, erklärte der US-Internetspezialist Fox-IT.

Behörden und Sicherheitsbehörden haben Betreiber von Webservern, die OpenSSL benutzen, aufgerufen, sofort die neueste Version einzusetzen. Zugleich sollten die verwendeten Schlüssel, die dazu gehörigen Zertifikate sowie Passwörter geändert werden.

Ob die Sicherheitslücke tatsächlich für Angriffe genutzt wurde, blieb unklar. Sicherheitsexperten gelang es nach eigenen Angaben, mit Hilfe des Fehlers Yahoo-Passwörter auszulesen.

Yahoo erklärte, das Problem sei inzwischen behoben. Entdeckt wurde das Problem laut OpenSSL-Entwickler von einem Mitarbeiter von Google Security.

Überprüfung möglich

Auf der Webseite http://filippo.io/Heartbleed/ können Webdienste vor der Benutzung abgefragt werden. Es lässt sich auch prüfen, ob der gewünschte Server noch verwundbar ist.