Die Heartbleed-Lücke in OpenSSL: Die Gefahren, unsere Reaktion, Ihre Möglichkeiten

Bestimmt haben Sie schon in den Medien davon gehört: der Sicherheitslücke und dem Exploit "Heartbleed" in der weitverbreiteten Kryptobibliothek OpenSSL. Am Montagabend der vergangenen Woche, dem 7. April 2014, wurde dieses Problem bekannt. Der Fehler in der Heartbeat-Erweiterung der Bibliothek ist einer der am schwersten wiegenden der letzten Jahre - wenn nicht DER schwerste.

Der Security-Spezialist Bruce Schneier schrieb dazu kürzlich in seinem Blog:

"Catastrophic" is the right word. On the scale of 1 to 10, this is an 11.

Welche Gefahren drohen?

Was genau ermöglicht diese Lücke? Was macht sie so gefährlich? Wie funktioniert sie?

Die Lücke erlaubt es Angreifern, durch eine einfache Anfrage (und ohne Spuren zu hinterlassen) einen Teil des Speicherbereichs einer OpenSSL-gesicherten Anwendung - etwa eines Web-Servers - auszulesen. In diesem Speicherbereich liegen zum Beispiel der private Schlüssel, das SSL-Zertifikat der Anwendung, mit der die Daten zwischen Client und Server verschlüsselt werden, sowie übertragene Daten der SSL-Verbindung wie beispielsweise Benutzerkennwörter.

Der Heartbleed-Exploit macht es somit möglich, diese sehr sensitiven Daten in kleinen Stücken beliebig oft zu entnehmen und zusammenzuführen. Im schlimmsten Fall besitzt der Angreifer gegebenenfalls den privaten Schlüssel und das Zertifikat und ist somit in der Lage, den gesamten Verkehr zwischen Client und Server zu entschlüsseln.

Das gilt auch für frühere Verbindungen, die mit diesem Paar verschlüsselt wurden und die der Angreifer eventuell in der Vergangenheit aufgezeichnet hat - wenn nicht gerade eine Verschlüsselung mit Perfect Forward Secrecy gewählt wurde.

Eine sehr anschauliche Erklärung bietet das folgende (knapp neunminütige) englischsprachigen Video:

Wie hat //SEIBERT/MEDIA gehandelt?

//SEIBERT/MEDIA hat binnen kürzester Zeit reagiert und alle Hosting-Systeme am Morgen des 8. April einer Überprüfung unterzogen und betroffene Systeme aktualisiert. Weniger als 24 Stunden nach Bekanntwerden des Problems waren also alle Systeme und Anwendungen in der //SEIBERT/MEDIA-Infrastruktur wieder gesichert.

Was können Sie tun?

Wenn Sie Ihre Anwendung nicht bei //SEIBERT/MEDIA hosten und sich unsicher über das weitere Vorgehen sind, empfehlen wir die folgenden Maßnahmen:

  • Sie sollten Ihr System zunächst einer Schnellprüfung über die folgende Webseite unterziehen: https://filippo.io/Heartbleed.
  • Wird Ihr System als verwundbar/betroffen gemeldet, sollten Sie sobald wie möglich eine Aktualisierung der OpenSSL-Bibliothek vornehmen und im Anschluss daran das SSL-Zertifikat erneuern sowie gegebenenfalls alle Kennwörter der Benutzer der Anwendung ändern.
  • Unterziehen Sie das System dann einer erneuten Prüfung, im Zweifel auch mithilfe weiterer Quellen.

Gerne unterstützen wir Sie hierbei. Kontaktieren Sie uns einfach.

Weitere Informationen finden Sie auch auf den folgenden Seiten:

Heartbleed.com
OpenSSL Security Advice vom 7. April 2014
Debian Security Advisory zu OpenSSL

Weiterführende Informationen

Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne – bitte sprechen Sie uns unverbindlich an! Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.


Mehr über die Creative-Commons-Lizenz erfahren