Vom Heartbleed-Bug waren nicht nur kleine(re), sondern auch große Internetfirmen, Mailanbieter, Router und Webseitenbetreiber betroffen, zum Beispiel Google, Yahoo und web.de. Gefunden wurde der Bug in den Versionen 1.0.1 bis 1.0.1f.

Laut BSI können Speicherinhalte des OpenSSL-Servers „unter Ausnutzung der Schwachstelle“ ausgelesen werden, wobei die Heartbeat-Erweiterung vorher aktiviert worden sein muss. Es sei zudem möglich, „unter Umständen die geheimen Schlüssel von OpenSSL-Servern“ auszulesen.

Heartbleed: Was tun?
Private Internetnutzer brauchen nichts zu tun, denn der Fehler liegt auf Anbieter-Seite: Deren Systeme müssen aktualisiert werden. So steht seit dem 7. April 2014 das Update OpenSSL Version 1.0.1g zur Verfügung, durch das die Sicherheitslücke geschlossen werde, hier unter www.opendsl.org mitgeteilt wurde.

Wer als Betreiber Server mit OpenSSL nutzt, der sollte „das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde“, kann ein Datendiebstahl nicht ausgeschlossen werden. Für einen solchen Fall rät das BSI – nach der Installation des Updates – zum „Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel (...). Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern“.