Security-Lücke "Heartbleed" - so lassen Sie Ihre IT nicht ausbluten

Blindes Vertrauen

Der blinde Ansturm auf den Einsatz von OpenSSL – weil es „jeder“ nutzt und es durch den Open-Source-Ansatz kostenfrei ist – spielte eine wesentliche Rolle in Bezug auf das Ausmaß und die Schwere der Heartbleed-Lücke. Es scheint, als ob Hersteller sich nicht darum bemüht haben, den Code zu prüfen, bevor sie ihn in ihre Lösungen eingebaut haben. Dadurch haben viele End-User-Unternehmen Security-Produkte implementiert, die betroffene Code-Versionen einsetzen, um Anwendungen und Web-Services zu schützen, die ebenfalls OpenSSL nutzen und damit dieselbe Schwachstelle haben. Dies gibt Cyber-Kriminellen die Möglichkeit, die Sicherheitslücke gleich doppelt auszunutzen.

Überflüssige Codezeilen?

Aktuell arbeitet eine Open-Source-Software-Gruppe an einer vereinfachten, bereinigten Version von OpenSSL. Sie hat bereits fast 250.000 Codezeilen sowie unbenötigten Content entfernt. Wenn so viele Zeilen gelöscht werden konnten, wie viele sind dann komplett irrelevant für die Nutzung auf einem Network-Security-Gateway oder einer Firewall? Kommen im Unternehmen Firewall-Lösungen von Clavister zum Einsatz, kann sich der Puls des IT-Teams wieder beruhigen. Denn der schwedische Hersteller setzt weder OpenSSL noch andere Open Source-Produkte ein, um nicht ungewollt Schwachstellen, Backdoors und Bugs von Drittanbietern zu importieren.

Vertrauen plus Technik

Sicherheitslösungen müssen penibel entwickelt und mehrmals getestet werden, um zu gewährleisten, dass jegliche Schwachstellen eliminiert worden sind. Sie sollten nicht auf einem Code „von der Stange“ beruhen oder einen solchen einsetzen, dessen Sicherheit nicht verifiziert ist – unabhängig davon, wie reizvoll dies sein mag, um die Entwicklung neuer Produkte zu beschleunigen. Security bedeutet Vertrauen, basierend auf einer soliden technischen Grundlage. Und das trifft auf Konsumenten, wichtige Websites und IT-Security-Hersteller zu. Das Internet hält schon genug Bedrohungen und Schwachstellen bereit, wir müssen es nicht noch gefährlicher machen, indem wir besorgniserregende Annahmen treffen.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Security-Lücke "Heartbleed" - so lassen Sie Ihre IT nicht ausbluten
2. Blindes Vertrauen

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu TK-Distribution

Verschlüsselte Speicherlösungen

Hart 4 Technology vertreibt Apricorn-Produkte auch in DACH-Region

Vom VAD zum Dienstleister

Herweck eröffnet neues Technik- & Servicecenter

Vertrieb im Wandel

„Security verkauft sich nicht mehr von allein“

Distributionspartnerschaft

Enreach stärkt Fachhandel durch Kooperation mit Allnet

Verstärkter Fokus auf DACH und Benelux

DDC baut Vertriebsnetz mit Littlebit Technology aus