Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

OpenSSL-Bug HeartbleedEin Test der E-Mail-Server von 1&1, Freenet, GMX, Mailbox.org, Posteo, Telekom und Web.de bestätigt, dass die größten deutschen Provider nicht mehr anfällig für den Heartbleed-Bug sind. Von den von ZDNet.de überprüften Servern haben inzwischen alle die von dem Fehler nicht betroffene Version OpenSSL 1.0.1g installiert und auch neue Zertifikate eingespielt.

Die alten Zertifikate sollten von den Anbietern für ungültig erklärt werden, da sonst die Gefahr einer Man-in-the-middle-Attacke besteht, wie Mailbox.org erklärt: „Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen.“

Die höchste Sicherheitseinstufung erreichen die Server von Posteo und Mailbox.org, die HSTS unterstützen. In Verbindung mit Firefox wird Mailbox.org als SSL-only-Domain erkannt, was die Sicherheit weiter erhöht. Inzwischen setzen die Anbieter bis auf Freenet auch die neueste TLS-Spezifikation 1.2 um. Forward Secrecy bieten nun ebenfalls sämtliche großen Maildienste. Nutzer des Internet Explorer müssen auf dieses Feature bei Freenet allerdings verzichten.

Heartbleed-Bug: Status deutscher Provider hinsichtlich Patch, erneuerten Zertifikaten, Forward Secrecy und TLS-Unterstützung (Stand 18.4.2014)

Anbieter 1&1 Freenet GMX Posteo Mailbox.org Mail.de Telekom Web.de
Patch ja ja ja ja ja ja ja ja
Sicheres Zertifikat ja ja ja ja ja ja ja ja
TLS 1.2 ja nein ja ja ja ja ja ja
Forward Secrecy ja ja* ja ja ja ja ja ja
Qualys SSL Test A B A A+ A+ A+ A A


*nicht mit Internet Explorer

Nutzer betroffener Server sollten in jedem Fall ihr Kennwort ändern und dies erneut durchführen, sobald die Serverbetreiber die Aktualisierung der Zertifikate abschlossen haben. Die Gefahr durch den Heartbleed-Bug war etwas weniger groß für Websites, die bereits vor Entdeckung des Fehlers die Funktion Forward Secrecy genutzt haben. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.

Die meisten von der in OpenSSL entdeckten Sicherheitslücke Heartbleed betroffenen Dienstleister haben Nutzer bisher nicht darüber aufgeklärt, dass seit zwei Jahren ein hohes Risiko für das Stehlen von Zugangsdaten bestanden hat. Angesichts der Tatsache, dass anerkannte Sicherheitsexperten wie Bruce Schneier den Fehler „auf einer Skala von 0 bis 10 mit 11“ bewerten, verwundert dies ein wenig. Besorgte Anwender können aber folgende Online-Tools nutzen, um sich über den aktuellen Status eines Servers zu informieren.

filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

4 Kommentare zu Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

Kommentar hinzufügen
  • Am 17. April 2014 um 18:08 von Joachim

    Hier ist von den großen deutschen Providern die Rede, aber warum ist da mailbox.org mit drin? Soweit mir bekannt haben die erst ca. 5000 Kunden.
    Ich bin bei mail.de und die haben mal verlauten lassen dass sie schon mehr als 150.000 Kunden haben. Warum ist mail.de nicht mit in der Liste, die schneiden auch mit A+ bei Qualys ab.

    Vielleicht können die ja noch nachgetragen werden in die Liste?

    Jo

    • Am 18. April 2014 um 18:09 von Kai Schmerer

      Mail.de ist nun auch in der Liste. Danke für den Hinweis.

      • Am 4. Juni 2014 um 23:12 von Leroux M.

        … zu viel Tchibo Reklame bei mir im Postfach und das jeden Tag!

  • Am 30. April 2014 um 12:02 von Jonathan

    Wie ich feststellen konnte, wurde das Zertifikat auf den POP- und IMAP- Servern von GMX.COM nicht erneuert (Gültigkeit von 2013). Betraf Ihre Prüfung nur die WEB-Server?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *