Ein Test der E-Mail-Server von 1&1, Freenet, GMX, Mailbox.org, Posteo, Telekom und Web.de bestätigt, dass die größten deutschen Provider nicht mehr anfällig für den Heartbleed-Bug sind. Von den von ZDNet.de überprüften Servern haben inzwischen alle die von dem Fehler nicht betroffene Version OpenSSL 1.0.1g installiert und auch neue Zertifikate eingespielt.
Die alten Zertifikate sollten von den Anbietern für ungültig erklärt werden, da sonst die Gefahr einer Man-in-the-middle-Attacke besteht, wie Mailbox.org erklärt: „Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen.“
Die höchste Sicherheitseinstufung erreichen die Server von Posteo und Mailbox.org, die HSTS unterstützen. In Verbindung mit Firefox wird Mailbox.org als SSL-only-Domain erkannt, was die Sicherheit weiter erhöht. Inzwischen setzen die Anbieter bis auf Freenet auch die neueste TLS-Spezifikation 1.2 um. Forward Secrecy bieten nun ebenfalls sämtliche großen Maildienste. Nutzer des Internet Explorer müssen auf dieses Feature bei Freenet allerdings verzichten.
Heartbleed-Bug: Status deutscher Provider hinsichtlich Patch, erneuerten Zertifikaten, Forward Secrecy und TLS-Unterstützung (Stand 18.4.2014) |
||||||||
| Anbieter | 1&1 | Freenet | GMX | Posteo | Mailbox.org | Mail.de | Telekom | Web.de |
|---|---|---|---|---|---|---|---|---|
| Patch | ja | ja | ja | ja | ja | ja | ja | ja |
| Sicheres Zertifikat | ja | ja | ja | ja | ja | ja | ja | ja |
| TLS 1.2 | ja | nein | ja | ja | ja | ja | ja | ja |
| Forward Secrecy | ja | ja* | ja | ja | ja | ja | ja | ja |
| Qualys SSL Test | A | B | A | A+ | A+ | A+ | A | A |
*nicht mit Internet Explorer
Nutzer betroffener Server sollten in jedem Fall ihr Kennwort ändern und dies erneut durchführen, sobald die Serverbetreiber die Aktualisierung der Zertifikate abschlossen haben. Die Gefahr durch den Heartbleed-Bug war etwas weniger groß für Websites, die bereits vor Entdeckung des Fehlers die Funktion Forward Secrecy genutzt haben. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.
Die meisten von der in OpenSSL entdeckten Sicherheitslücke Heartbleed betroffenen Dienstleister haben Nutzer bisher nicht darüber aufgeklärt, dass seit zwei Jahren ein hohes Risiko für das Stehlen von Zugangsdaten bestanden hat. Angesichts der Tatsache, dass anerkannte Sicherheitsexperten wie Bruce Schneier den Fehler „auf einer Skala von 0 bis 10 mit 11“ bewerten, verwundert dies ein wenig. Besorgte Anwender können aber folgende Online-Tools nutzen, um sich über den aktuellen Status eines Servers zu informieren.
filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
4 Kommentare zu Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Hier ist von den großen deutschen Providern die Rede, aber warum ist da mailbox.org mit drin? Soweit mir bekannt haben die erst ca. 5000 Kunden.
Ich bin bei mail.de und die haben mal verlauten lassen dass sie schon mehr als 150.000 Kunden haben. Warum ist mail.de nicht mit in der Liste, die schneiden auch mit A+ bei Qualys ab.
Vielleicht können die ja noch nachgetragen werden in die Liste?
Jo
Mail.de ist nun auch in der Liste. Danke für den Hinweis.
… zu viel Tchibo Reklame bei mir im Postfach und das jeden Tag!
Wie ich feststellen konnte, wurde das Zertifikat auf den POP- und IMAP- Servern von GMX.COM nicht erneuert (Gültigkeit von 2013). Betraf Ihre Prüfung nur die WEB-Server?