Die dramatische Sicherheitslücke in der Verschlüsselungssoftware OpenSSL, von der Millionen Websites betroffen sind, hat viele Unternehmen und Institutionen eiskalt erwischt. Sie tragen wenig Schuld an dem "Heartbleed" genannten Bug: Fehler dieser Art passieren beim Programmieren immer wieder und sind auch schwer zu entdecken. Viel kritischer ist allerdings, was in den Stunden nach dem Bekanntwerden einer Sicherheitslücke passiert. Denn spätestens dann wissen Kriminelle Bescheid und beginnen, Webseiten zu attackieren. Auch der Internetspionage ist Tür und Tor geöffnet.

OpenSSL hat deshalb zügig ein Update bereitgestellt, mit dem die Lücke von Betroffenen geschlossen werden konnte. Das wurde hierzulande von vielen verschlafen, obwohl das schnelle Aktualisieren von Sicherheitsstandards zu den Kernaufgaben von Serverbetreibern gehört. Positiv sind hier die Wiener Linien hervorzuheben, die prompt reagierten und zusätzlich alle Kundenkennwörter zurücksetzten. Andere, darunter auch Banken, gehen mit der Lücke gefährlich lässig um und verzichten darauf, Kundenpasswörter zu ändern.

Das zeigt, dass Gefahren unterschätzt werden und Ressourcen fehlen, um Datensicherheit zu garantieren. Kunden sollten Druck machen, größeren Schutz ihrer Daten einfordern - und sich dazu überwinden, das mühsame Ändern ihrer Passwörter selbst in die Hand zu nehmen. (Fabian Schmid, DER STANDARD, 11.4.2014)