Trotz Heartbleed: Plädoyer für den Einsatz von SSL

Es sei bedauerlich, dass mit OpenSSL momentan eine Verschlüsselungssoftware Schlagzeilen mache, für die vorübergehend zu gelten scheine, dass auf sie zu verzichten sicherer sei, als sie zu nutzen, so eine Meldung des Bundesverbandes IT-Sicherheit e.V. (Teletrust).

Bei OpenSSL handelt es sich um eine Open-Source-Implementierung des TLS-Protokolls. In OpenSSL wurde ein Fehler entdeckt, der als““Heartbleed Bug““ Schlagzeilen machte. Durch diesen Fehler gibt eine OpenSSL-Instanz Daten preis, die normalerweise weder verschlüsselt noch unverschlüsselt sichtbar sind.

TLS sieht eine Funktion namens “Heartbeat” vor. Mit dieser können sich Rechner gegenseitig Leernachrichten zuschicken, um damit anzuzeigen, dass alles in Ordnung ist. Mit einer entsprechend zusammengesetzten Nachricht kann ein Angreifer eine OpenSSL-Instanz dazu veranlassen, in einer vermeintlichen Leernachricht 64 KByte aus dem Hauptspeicher zu liefern. Darin kann eine E-Mail, ein Text oder beliebiger Inhalt enthalten sein – im schlechtesten Fall auch ein geheimer Schlüssel oder ein Passwort.

Klaus Schmeh, Cryptovision- und Kryptografie-Experte des Bundesverbandes IT-Sicherheit e.V. (Teletrust) kommentiert: „“Das TLS-Protokoll selbst ist nicht fehlerhaft. Es wurde im Fall von OpenSSL nur falsch implementiert.Die Verschlüsselung, die das TLS-Protokoll durchführt, ist vom Heartbleed-Bug nicht betroffen (abgesehen davon, dass man damit an den Schlüssel herankommen könnte). Fehler wie den Heartbeat-Bug hat es schon viele gegeben. Meist waren Programme betroffen, die nichts mit Kryptografie zu tun haben. Wenn ein Speicherzugriff nicht sauber programmiert ist, dann kann dies ein Einfallstor für Hacker sein. Der Heartbleed-Bug war für die OpenSSL-Entwickler leicht zu korrigieren – ein paar zusätzliche Codezeilen genügten. Die korrigierte Version ist längst verfügbar.““

Gerade vor dem Hintergrund des OpenSSL-Bugs gelte die Empfehlung von Sicherheitsexperten wie Bruce Schneier: „“Je besser wir verschlüsseln, desto schwieriger wird es für diverse Schnüffler, uns zu überwachen – auch wenn nicht jede Verschlüsselung zu hundert Prozent sicher ist.““

Mehr zum Thema:

Online-Test der Heartbleed-Sicherheitslücke

Lesen Sie mehr zum Thema

Weitere Artikel zu Siemens Enterprise Communications GmbH & Co. KG Leipzig

Spionage und Daten-Abgriff

Malwarebytes: Neue ATP-Gruppe mischt im Ukraine-Konflikt mit

Zimperium warnt vor Kredit-App-Betrugsmasche

MoneyMonger-Kampagne raubt Privatdaten

Security-Reports von Trellix, Proofpoint und G…

Mehr gezielte Angriffe, Emotet wieder aktiv

Check Point und Cybereason warnen vor neuen…

Malware tarnt sich als Google Translate oder Update

HP-Wolf-Security-Report zeigt aktuelle Techniken…

Das Erwachen der LNK-Dateien

Weitere Artikel zu SDT - Dr. Seitner GmbH

Bundesverband IT-Sicherheit fordert mehr Schutz…

Kritische Infrastrukturen und Industrie besser schützen

Bundesverband IT-Sicherheit (Teletrust) fordert…

Teletrust: Informationen über Cyberangriffe verfügbar machen

Forderungen an die Politik

Bundesverband IT-Sicherheit veröffentlicht IT-Sicherheitsagenda 2029

Gegen staatliche Hintertüren: Bundesverband…

Teletrust: Aushebelung der Ende-zu-Ende-Verschlüsselung

Stellungnahme des Bundesverbandes IT-Sicherheit…

Teletrust kommentiert EuGH-Urteil zum Privacy Shield