Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Datenleck: Passwort ändern nützt oft nichts

(c) REUTERS (PAWEL KOPCZYNSKI)
  • Drucken

Noch immer haben nicht alle betroffenen Serverbetreiber den Softwarefehler Heartbleed behoben. Wenn durch solche Schlamperei Schäden entstehen, haftet der Betreiber.

Wien. Kürzlich wurde eine der bisher größten Internet-Sicherheitslücken bekannt: Heartbleed betrifft Websites, auf denen Nutzerdaten verschlüsselt übertragen werden. Ursache ist ein Fehler in der Verschlüsselungssoftware OpenSSL.

1. Welche Server können von dem Sicherheitsleck betroffen sein?

Alle, auf denen die Softwareversionen OpenSSL 1.0.1 bis 1.0.1f laufen. Laut Arge Daten ist das etwa bei 40Prozent der in Österreich laufenden Apache-Server der Fall. Ältere OpenSSL-Versionen weisen die Sicherheitslücke nicht auf – wer also seinerzeit aufs Update vergessen hat, war ausnahmsweise sicherer unterwegs. Laut den Datenschützern haben immer noch nicht alle betroffenen Betreiber das Problem behoben, bei tausenden österreichischen Webservern habe die Sicherheitslücke jedenfalls gestern, Montag, noch bestanden. Unter anderem bei einigen hundert Servern von Bundes- und Landesdienststellen, aus dem öffentlichen Schul- und Bildungswesen und von Gemeinden. Ob eine Seite betroffen ist, kann man zum Beispiel unter https://filippo.io/Heartbleed oder www.mcafee.com/heartbleed überprüfen.

2. Muss man befürchten, dass Online-Banking-Daten ausgespäht wurden?

Ausgeschlossen ist es nicht, die Wahrscheinlichkeit ist aber gering, weil dafür nur selten Open-Source-Verschlüsselungssoftware verwendet wird. Zudem bieten die TAN-Codes zusätzlichen Schutz.

3. Müssen betroffene Anbieter die Nutzer verständigen?

Ja. Im Datenschutzgesetz ist festgeschrieben, dass der Auftraggeber einer Datenanwendung die Betroffenen unverzüglich in geeigneter Form zu informieren hat, wenn ihm bekannt wird, dass Daten „systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“. Nur wenn der Aufwand für die Information in Relation zum drohenden Schaden „unverhältnismäßig“ wäre, bestünde diese Verpflichtung nicht. Das absolute Minimum sei die Bekanntgabe der Lücke auf der Website, sagt Arge-Daten-Obmann Hans G. Zeger. Zusätzlich kann eine persönliche Verständigung geboten sein (vor allem, wenn besonders hoher Schaden droht). Der Betreiber muss auch angeben, wie man sich schützen kann (zum Beispiel: Passwort ändern).

4. Haften Serverbetreiber für Schäden durch Heartbleed?

Für den Fehler in der Software können die Betreiber nichts – allein daraus kann man noch keinen Schadenersatzanspruch ableiten. Ersatzpflichtig wird ein Betreiber aber dann, wenn er die Lücke nach Bekanntwerden nicht unverzüglich (faktisch wohl innerhalb eines Tages) behoben oder es verabsäumt hat, die Nutzer zu verständigen. Die Beweislast dafür, dass ein Schaden eingetreten ist, liegt dann beim Geschädigten. Der Serverbetreiber kann sich von der Haftung nur befreien, wenn er beweist, dass ihn kein Verschulden trifft – und das wird ihm in beiden Fällen schwerfallen. Eine Haftung kann auch für immaterielle Schäden bestehen (zum Beispiel, wenn durch das Datenleck bekannt wird, dass jemand gesundheitliche Probleme oder hohe Schulden hat).

5. Muss man jetzt wirklich alle Passwörter ändern?

Wenn das Datenleck noch nicht geschlossen ist, kann man sich die Mühe sparen: Auch das neue Passwort kann wieder ausgelesen werden. Auch rechtlich hat man keine Pflicht, „vorbeugend“ Passwörter zu ändern. Sobald der Betreiber einen aber von der Sicherheitslücke (und deren Behebung) verständigt, muss man zumutbare Sicherheitsmaßnahmen, die er vorschlägt, auch ergreifen – also vor allem das Passwort ändern. Sonst kann man allfällige Schadenersatzansprüche ganz oder teilweise verlieren.

6. Was sollten Nutzer sonst noch beachten?

McAfee warnt vor Phishing-Attacken: Neben echten Verständigungen von Serverbetreibern, dass sie das Datenleck geschlossen haben, könnten im Posteingang auch E-Mails von Betrügern landen, die sich als Betreiber ausgeben und versuchen, Nutzern Zugangsdaten herauszulocken. Keinesfalls sollte man in solchen Mails angegebenen Links folgen und Passwörter oder sonstige Daten eingeben.

("Die Presse", Print-Ausgabe, 15.04.2014)