Heartbleed-Aufräumaktion kommt zum Erliegen

Der SSL-GAU ist gut zweieinhalb Monate her und immer noch sind Hunderttausende von Servern verwundbar. Die Patchwelle scheint zum Erliegen gekommen zu sein; das kann fatale Konsequenzen nach sich ziehen.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Kurz nach dem Bekanntwerden der Heartbleed-Schwachstelle hatte das Team von Errata Security 28 Millionen Computer im öffentlichen Netz gescannt und herausgefunden, dass von denen, die auf Port 443 antworten, über 600.000 verwundbar waren. Einen Monat nach Heartbleed hatten die Sicherheitsforscher den Versuch wiederholt und fanden über 300.000 verwundbare Systeme. Bei einem erneuten Scan am Wochenende mussten sie feststellen, dass sich an dieser Zahl kaum etwas geändert hatte.

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

Das deutet darauf hin, dass Serverbetreiber entweder direkt im Anschluss an das Bekanntwerden einer Lücke patchen, oder gar nicht. Errata geht davon aus, dass die Anzahl der verwundbaren Systeme nun nur noch langsam abnehmen wird. Selbst in einem Jahrzehnt werde man noch Tausende von Servern finden, denen man mit Heartbleed das Handwerk legen kann.

Dieses Verhalten lässt sich durchaus auch in anderen Bereichen beobachten. So stellte heise Security fest, dass der Anteil der verwundbaren Fritzboxen im DSL-Netz der Telekom in den letzten 3 Monaten nur noch geringfügig von 35 auf 33 Prozent gesunken ist.

Wie schmerzhaft es sein kann, die entsprechenden Sicherheitsmaßnahmen zu verschlafen, bekamen die Mitarbeiter des großen britischen Versicherungskonzerns Aviva zu spüren. Wie The Register berichtet, gelang es letzten Monat einem Hacker in das Mobilgeräte-Managementsystem MobilIron einzubrechen, welches Aviva zur Verwaltung der iPhones und iPads von Mitarbeitern verwendet.

Der Hacker schickte den Gerätebesitzern eine kesse Nachricht, die auf einen Zusammenhang zu Heartbleed hindeutet und löschte danach deren Geräte. Im Anschluss plättete der unbekannte Hacker dann den Management-Server, wahrscheinlich um Spuren zu verwischen. Aviva gab den Fauxpas zu, teilte aber mit es wären keine wichtigen Business-Daten betroffen gewesen. Die Geräte hätten wiederhergestellt werden können.

MobileIrons öffentliche Reaktion auf den Vorfall deutet darauf hin, dass der Heartbleed-Bug unter Umständen bereits geflickt war, als der Hacker sich Zugang zu dem Aviva-System verschafft hatte. Es ist möglich, dass der Angreifer sich im Vorfeld Zugangsdaten zu dem Server verschafft hatte, die nicht geändert wurden, nachdem OpenSSL gepatcht wurde. Es reicht also nicht, nur die Software abzudichten, Passwörter und Zertifikate müssen auch angepasst werden. (fab)