Sicher haben Sie in den letzten Tagen von der OpenSSL Schwachstelle Heartbleed gehört oder gelesen. Die Sicherheitslücke ist der SSL-Supergau und beschert einer ganzen Branche Kopfweh und schlaflose Nächte.

Was ist der Heartbleed Bug?

Heartbleed Logo

Der sogenannte Heartbleed Bug ist eine schwere Sicherheitslücke in der Verschlüsselungssoftware OpenSSL. Diese Schwäche ermöglicht den Diebstahl via SSL/TLS geschützter Informationen. Die Verschlüsselung via SSL/TLS war bisher die Garantie für eine sichere Datenübertragung von Informationen und wird bei geschätzt mehr als 66% der Internetseiten angewandt. Dieser Bug macht es theoretisch jedem Nutzer möglich, Informationen aus dem Speicher von Systemen auszulesen die durch OpenSSL geschützt sind.

 

Was hat dogado unternommen?

Unser Operations-Team hat nach der Veröffentlichung dieser Lücke umgehend alle unsere Systeme, die wir mit OpenSSL schützen, geprüft und untersucht.

Wir haben bei der Prüfung keine Hinweise gefunden, die eine Vermutung zulassen das dieser Heartbleed Bug ausgenutzt wurde. Ausserdem haben wir im Zuge dieser Prüfung alle OpenSSL Installationen aktualisiert und tauschen alle Zertifikate aus.

Unsere Windows basierten Dienste, wie beispielsweise unsere Hosted Exchange Plattformen waren und sind nicht von der Sicherheitslücke betroffen.

 

So prüfen sie Ihr System und aktualisieren OpenSSL

Betroffen sind die OpenSSL-Versionen 1.0.1 und 1.0.2-beta. Ein OpenSSL Update um die Lücke zu schliessen existiert bereits und sollte sofort durchgeführt werden.

Filippo Valsorda bietet auf seiner Webseite einen Heartbleed Schnelltest an.

Nach dem Update ist es wichtig, die Dienste welche OpenSSL nutzen wie z.B. den Webserver neu zu starten. Alle großen Linux Distributionen haben bereits neue OpenSSL Pakete zur Verfügung gestellt. Die Installation kann meist über den Paket-Manager (apt-get, aptitude, yum, rpm) ohne großen Aufwand erfolgen.

Windows Betriebssysteme sind selbst nicht von der Sicherheitslücke betroffen, können jedoch Anwendungen und Dienste bereitstellen, welche auf OpenSSL Bibliotheken zugreifen. Prüfen Sie beim entsprechenden Hersteller, ob OpenSSL eingesetzt wird und ob eine Aktualisierung für die Anwendung bereit steht.

Als vorausschauende Handlung empfehlen wir Ihnen auf Ihren mit SSL gesicherten Systemen die Verschlüsselungsmethode „Perfect Forward Secrecy“ einzusetzen. Dies schützt davor, dass mit geschnittener SSL-Datenverkehr nachträglich mit einem entwendeten SSL-Schlüssel entschlüsselt werden kann.

 

Mehr Informationen zu Heartbleed

Timo Mankartz

Director Customer Success bei dogado GmbH
Gründer, Teilhaber, Entrepreneur und Fan des web2.0. Als Director Customer Success verantworte ich den Kundenservice der dogado GmbH.