Startseite > Office & Kommunikation > Security-Lücke "Heartbleed" - so lassen Sie Ihre IT nicht ausbluten

Kommentar: Clavister

Security-Lücke "Heartbleed" - so lassen Sie Ihre IT nicht ausbluten

14. Mai 2014, 15:35 Uhr | David Sandin, Produktmanager, Clavister

Der Herzschmerz ist momentan in aller Munde, aber nicht aus zwischenmenschlicher, sondern aus IT-technischer Sicht: Kürzlich wurde „Heartbleed“ entdeckt, eine Schwachstelle im OpenSSL-Security-System. Durch diese Sicherheitslücke können private Schlüssel des Serverzertifikats, Benutzernamen und Passwörter ausspioniert werden, und das schon seit rund zwei Jahren.

Tatsächlich trifft sie das Herz des Internets, denn zahlreiche internationale Webseiten nutzen die Verschlüsselungssoftware - was Sie als Betroffener jetzt tun können:

Die Lücke besteht in den OpenSSL-Versionen 1.0.1 bis einschließlich 1.0.1f sowie 1.0.2-beta bis einschließlich 1.0.2-beta1. Daher empfiehlt es sich für Unternehmen, entweder auf die letzte gefixte Version 1.01g zu aktualisieren oder OpenSSL ohne die betroffene „Heartbeat“-Erweiterung des TLS-Protokolls neu aufzusetzen. Möglicherweise wurden zwischenzeitlich die Zertifikate des Webservers kompromittiert oder sogar gestohlen. Aus diesem Grund ist es ratsam, die zuständige Zertifikatsbehörde zu kontaktieren, um einen Ersatz zu erhalten. Zusätzlich sollten Firmen Enduser-Passwörter zurücksetzen, die im Speicher eines attackierten Servers sichtbar gewesen sein könnten.

Erhöhtes Phishing-Risiko

Private Nutzer finden im Artikel des IT-Blogs Mashable eine Zusammenfassung aller Websites und Services, die wahrscheinlich betroffen sind. Außerdem erhalten sie Hilfestellung, ob sie ihre Passwörter ändern müssen. Darüber hinaus sollten sie in ihrem E-Mail-Postfach Vorsicht walten lassen: Es ist mit einem erhöhten Aufkommen an Phishing-Nachrichten zu rechnen, die die Angst vor der Heartbeat-Lücke ausnutzen. Beispielsweise könnte dazu aufgefordert werden, Kennwörter unter einem angegebenen Link zu ändern. Diese Links können allerdings zu bösartigen Websites führen. Passwörter sollten deshalb nur auf der offiziellen Seite des Betreibers direkt geändert werden.

„Annehmen“ ist nicht gleich „wissen“

Der Kern dieser Sicherheitslücke ist ein einfacher Codierungsfehler, der jedem Entwickler unterlaufen kann. Aber für mich haben erst die Annahmen der Nutzer dazu geführt, dass Heartbleed international Schlagzeilen machte:

Annahme Nr. 1: Jemand wird den Code gegengeprüft und auf Sicherheit getestet haben, bevor er der OpenSSL Software Repository hinzugefügt wurde.

Annahme Nr. 2: Da in der Open Source-Entwicklung eine Gemeinschaft von Programmierern ohne kommerzielle Zwänge zusammenarbeitet, wird die Software vermutlich weniger Bugs aufweisen.

Annahme Nr. 3: Weil OpenSSL bei Zehntausenden Websites weltweit eingesetzt wird, darunter einige der größten Online-Marken, sowie von Herstellern in zahlreiche Security-Lösungen integriert wird, ist es wahrscheinlich vollständig getestet, stabil und sicher.

Im Zuge von Heartbleed haben sich diese Annahmen als falsch erwiesen. Eines möchte ich unmissverständlich klarstellen: Weder kritisiere noch befinde ich Open Source Software-Entwicklung für schuldig, ebenso kritisiere ich niemanden, der an der Entwicklung, dem Einsatz oder der Nutzung von OpenSSL beteiligt war. Fehler und Schwachstellen passieren, das kommt auch bei der international populärsten, kommerziellen Software vor, wie der monatliche „Patch Tuesday“ beweist.