Teletrust: Informationssicherheit und Vertrauen bleiben Prioritäten für ein sicheres Internet

Trotz Heartbleed: Plädoyer für den Einsatz von SSL

11. April 2014, 8:57 Uhr | LANline/jos

Es sei bedauerlich, dass mit OpenSSL momentan eine Verschlüsselungssoftware Schlagzeilen mache, für die vorübergehend zu gelten scheine, dass auf sie zu verzichten sicherer sei, als sie zu nutzen, so eine Meldung des Bundesverbandes IT-Sicherheit e.V. (Teletrust).

Bei OpenSSL handelt es sich um eine Open-Source-Implementierung des TLS-Protokolls. In OpenSSL wurde ein Fehler entdeckt, der als““Heartbleed Bug““ Schlagzeilen machte. Durch diesen Fehler gibt eine OpenSSL-Instanz Daten preis, die normalerweise weder verschlüsselt noch unverschlüsselt sichtbar sind.

TLS sieht eine Funktion namens “Heartbeat” vor. Mit dieser können sich Rechner gegenseitig Leernachrichten zuschicken, um damit anzuzeigen, dass alles in Ordnung ist. Mit einer entsprechend zusammengesetzten Nachricht kann ein Angreifer eine OpenSSL-Instanz dazu veranlassen, in einer vermeintlichen Leernachricht 64 KByte aus dem Hauptspeicher zu liefern. Darin kann eine E-Mail, ein Text oder beliebiger Inhalt enthalten sein – im schlechtesten Fall auch ein geheimer Schlüssel oder ein Passwort.

Klaus Schmeh, Cryptovision- und Kryptografie-Experte des Bundesverbandes IT-Sicherheit e.V. (Teletrust) kommentiert: „“Das TLS-Protokoll selbst ist nicht fehlerhaft. Es wurde im Fall von OpenSSL nur falsch implementiert.Die Verschlüsselung, die das TLS-Protokoll durchführt, ist vom Heartbleed-Bug nicht betroffen (abgesehen davon, dass man damit an den Schlüssel herankommen könnte). Fehler wie den Heartbeat-Bug hat es schon viele gegeben. Meist waren Programme betroffen, die nichts mit Kryptografie zu tun haben. Wenn ein Speicherzugriff nicht sauber programmiert ist, dann kann dies ein Einfallstor für Hacker sein. Der Heartbleed-Bug war für die OpenSSL-Entwickler leicht zu korrigieren – ein paar zusätzliche Codezeilen genügten. Die korrigierte Version ist längst verfügbar.““

Gerade vor dem Hintergrund des OpenSSL-Bugs gelte die Empfehlung von Sicherheitsexperten wie Bruce Schneier: „“Je besser wir verschlüsseln, desto schwieriger wird es für diverse Schnüffler, uns zu überwachen – auch wenn nicht jede Verschlüsselung zu hundert Prozent sicher ist.““

Mehr zum Thema:

Online-Test der Heartbleed-Sicherheitslücke


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Weitere Artikel zu SDT - Dr. Seitner GmbH

Matchmaker+