Heartbleed-Bug: Die großen deutschen E-Mail-Anbieter sind nun sicher

Ein Test der E-Mail-Server von 1&1, Freenet, GMX, Mailbox.org, Posteo, Telekom und Web.de bestätigt, dass die größten deutschen Provider nicht mehr anfällig für den Heartbleed-Bug sind. Von den von ZDNet.de überprüften Servern haben inzwischen alle die von dem Fehler nicht betroffene Version OpenSSL 1.0.1g installiert und auch neue Zertifikate eingespielt.

Die alten Zertifikate sollten von den Anbietern für ungültig erklärt werden, da sonst die Gefahr einer Man-in-the-middle-Attacke besteht, wie Mailbox.org erklärt: „Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen.“

Die höchste Sicherheitseinstufung erreichen die Server von Posteo und Mailbox.org, die HSTS unterstützen. In Verbindung mit Firefox wird Mailbox.org als SSL-only-Domain erkannt, was die Sicherheit weiter erhöht. Inzwischen setzen die Anbieter bis auf Freenet auch die neueste TLS-Spezifikation 1.2 um. Forward Secrecy bieten nun ebenfalls sämtliche großen Maildienste. Nutzer des Internet Explorer müssen auf dieses Feature bei Freenet allerdings verzichten.

Heartbleed-Bug: Status deutscher Provider hinsichtlich Patch, erneuerten Zertifikaten, Forward Secrecy und TLS-Unterstützung (Stand 18.4.2014)

Anbieter 1&1 Freenet GMX Posteo Mailbox.org Mail.de Telekom Web.de
Patch ja ja ja ja ja ja ja ja
Sicheres Zertifikat ja ja ja ja ja ja ja ja
TLS 1.2 ja nein ja ja ja ja ja ja
Forward Secrecy ja ja* ja ja ja ja ja ja
Qualys SSL Test A B A A+ A+ A+ A A


*nicht mit Internet Explorer

Nutzer betroffener Server sollten in jedem Fall ihr Kennwort ändern und dies erneut durchführen, sobald die Serverbetreiber die Aktualisierung der Zertifikate abschlossen haben. Die Gefahr durch den Heartbleed-Bug war etwas weniger groß für Websites, die bereits vor Entdeckung des Fehlers die Funktion Forward Secrecy genutzt haben. Sie wechselt den Sicherheitsschlüssel für jede Session, ohne dass sich daraus Rückschlüsse auf den Master Key ziehen ließen. Der Diebstahl eines Session Key etwa mit Heartbleed hat somit kaum Folgen.

Die meisten von der in OpenSSL entdeckten Sicherheitslücke Heartbleed betroffenen Dienstleister haben Nutzer bisher nicht darüber aufgeklärt, dass seit zwei Jahren ein hohes Risiko für das Stehlen von Zugangsdaten bestanden hat. Angesichts der Tatsache, dass anerkannte Sicherheitsexperten wie Bruce Schneier den Fehler „auf einer Skala von 0 bis 10 mit 11“ bewerten, verwundert dies ein wenig. Besorgte Anwender können aber folgende Online-Tools nutzen, um sich über den aktuellen Status eines Servers zu informieren.

filippo.io/Heartbleed testet den Server auf den Heartbleed-Bug, während der LastPass Heartbleed Checker zusätzliche Informationen hinsichtlich des verwendeten Zertifikats bereitstellt. Qualys SSL Labs testet die Server zudem auf die verwendete Version der Secure-Socket Layer/Transport Layer Security (SSL/TLS) und benotet die Server. Mit letzterem hat CNET die 100 größten US-Websites getestet und eine Liste mit den Ergebnissen veröffentlicht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago