Heartbleed: BSI sieht keinen Grund für Entwarnung

Das Bundesamt für Sicherheit in der Informationstechnik sieht beim "Heartbleed Bug" weiteren Handlungsbedarf. Kleinere Websites sind nach wie vor verwundbar, auch nehmen Angreifer jetzt andere Dienste ins Visier.

In Pocket speichern vorlesen Druckansicht 73 Kommentare lesen
Lesezeit: 1 Min.

Das Bundesamt Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht trotz schneller Reaktionen auf die Heartbleed-Lücke in der Verschlüsselungsbibliothek OpenSSL weiter Handlungsbedarf. Zwar hätten inzwischen viele Betreiber von betroffenen Systemen Gegenmaßnahmen ergriffen, doch klaffe die Lücke noch in Websites von kleineren Online-Shops oder Vereinen, teilte das BSI am Mittwoch in Bonn mit.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Weiter warnt das BSI, dass Angreifer inzwischen nicht mehr nur Webserver im Visier haben, weil diese meist zuerst gepatcht wurden. So seien derzeit auch E-Mail-Server, Server für Video- und Telefonkonferenzen, Firewalls und ander von außen erreichbare Server verwundbar, wenn sie auf OpenSSL setzen. Das BSI empfiehlt daher, auch solche Systeme daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt insbesondere auch für Sicherheitskomponenten, die OpenSSL einsetzen.

Die schwerwiegende Lücke in OpenSSL war vor gut einer Woche öffentlich geworden. Ein Programmierfehler in der Bibliothek versetzt Angreifer in die Lage, Daten aus dem Speicher eines Servers auszulesen. Dabei können auch die geheimen Schlüssel eines Server-Zertifikats ausgelesen werden, was die gesamte Verschlüsselung sicherer Verbindungen zwischen Servern kompromittiert.

Betreiber von Servern müssen dringend überprüfen, ob sie eine verwundbare OpenSSL-Version einsetzen und auf eine aktuelle Version updaten. Zudem müssen sicherheitshalber alle Zertifikate erneuert werden.

Siehe dazu auch den Kommentar auf heise Security:

(vbr)