Durch den Heartbleed-Bug können insbesondere Zugangsdaten ausgespäht werden (Benutzernamen, Passwörter, private Schlüssel). Unter bestimmten Voraussetzungen kann auch Datenverkehr nachträglich entschlüsselt werden, falls private Schlüssel ausgespäht wurden. Dies kann alle Dienste betreffen, wie beispielsweise E-Mail-Verkehr oder Online-Banking. Das Ausspähen dieser Daten hinterlässt in den seltensten Fällen Spuren auf den angegriffenen Systemen. Daher ist nicht sicher, ob der Fehler in der Vergangenheit bereits ausgenutzt wurde.

Die BaFin weist darauf hin, dass sie für die Banken-, Versicherungs- und Wertpapieraufsicht Anforderungen an die IT-Sicherheit der beaufsichtigten Unternehmen in Rundschreiben unter dem Titel „Mindestanforderungen an das Risikomanagement“ (MaRisk BA/VA) bzw. „Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk)“ veröffentlicht hat. Darin wird unter Verweis auf gängige Standards insbesondere ein angemessenes IT-Sicherheitsmanagement gefordert.

Insoweit erwartet die BaFin generell von den beaufsichtigten Unternehmen, angemessene IT-Sicherheitsmaßnahmen zu definieren und umzusetzen. Zudem sind die Maßnahmen regelmäßig und anlassbezogen zu überprüfen. Dies beinhaltet ggf. auch, Krypto-Konzepte, Systemarchitektur und die Implementierung der Anwendungen zu überprüfen.

Sollten durch den Heartbleed-Bug oder vergleichbare Sicherheitslücken wesentliche Schäden bzw. kritische IT-Sicherheitsvorfälle aufgetreten sein (auch in der Zeit vor Bekanntwerden des Heartbleed-Bugs), so erwartet die BaFin, dass die beaufsichtigten Unternehmen die zuständige Fachaufsicht informieren.