Information von Melani

Bund publiziert Empfehlungen zum OpenSSL-Problem

Uhr | Aktualisiert

Die aktuelle Lücke in der Verschlüsselungsbibliothek OpenSSL betrifft unzählige Internetnutzer. Die Melde- und Analysestelle Informationssicherung des Bundes hat nun Empfehlungen zum Umgang mit dem Bug publiziert.

(Quelle: flickr.com/photos/ajdagregorcic)
(Quelle: flickr.com/photos/ajdagregorcic)

Eine Lücke in der Verschlüsselungsbibliothek OpenSSL betrifft zurzeit unzählige Nutzer des Internets direkt oder indirekt. Durch die Lücke können Angreifer einen Teil des Speichers eines Servers auslesen, in dem sich die von Benutzern übertragenen Daten während eines kurzen Zeitpunkts befinden und damit Passwörter, Transaktionsdaten, aber auch Daten des Servers stehlen. Die Netzwoche hat bereits über das Problem berichtet.

Infos bei Heartblee, Fox-IT oder OpenSSL

Nun hat die Melde- und Analysestelle Informationssicherung des Bundes (Melani) Empfehlungen zum Umgang mit dem Problem herausgegeben. Service-Providern empfiehlt Melani, sich bei Heartbleed, Fox-IT oder OpenSSL zu informieren. Grundsätzlich gelte: Nutzer von OpenSSL 1.0.1 und 1.0.2beta sind betroffen, frühere Versionen nicht. Sämtliche Dienste, die diese Bibliotheken verwenden, sind verwundbar.

Besonders aufgepasst werden muss bei Servern, die beispielsweise für Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste, Mail-Dienste oder OpenVPN-Zugänge genutzt werden. Auch Netzwerkgeräte wie Router und Switches sind anfällig. OpenSSL 1.0.1g ist die erste Version, in welcher die Lücke beseitigt wurde.

Melani empfiehlt Workaround

Melani empfiehlt ausserdem dringend, innerhalb der nächsten 24 bis 48 Stunden das entsprechende Update einzuspielen und bei heiklen Diensten die Zertifikate und Zugangsdaten auszutauschen. Bei Diensten, bei denen die Anforderungen an Vertraulichkeit oder Integrität höher als die Anforderung an Verfügbarkeit sind, kann ein temporäres Ausschalten der Dienste gerechtfertigt sein. Als Folgeschaden eines Angriffs müsse in Betracht gezogen werden, dass Zugangsdaten potentiell kompromittiert worden sind.

Ein möglicher Workaround sei, einen grossen Teil des betroffenen Netzverkehrs über zentrale Access-Systeme zu leiten, die bereits aktualisiert worden sind. Die übrigen Systeme können dann nach und nach gepatcht oder dauerhaft hinter diesen Access-Systemen platziert werden..

Empfehlungen für Endbenutzer

Für die Endbenutzer, so Melani, sei es sehr schwierig, sich zu schützen, ausser man verzichte auf sämtliche heiklen Transaktionen im Internet bis die jeweiligen Dienstleister die Lücke beseitigt hätten. Es sei unbekannt, seit wann die Lücke ausgenutzt werde. Sicherlich gut wäre es aber laut Melani, alle Passwörter zu ändern, die für kompromittierte Dienste verwendet worden sind. Ausserdem sollten allfällige Sicherheitsaktualisierungen auf Heimgeräten wie NAS, Speicher und Router eingespielt werden.

Auch Posttochter Swisssign reagiert auf Heartbleed

Auch Swisssign, Tochter der Schweizerischen Post, reagierte auf die OpenSSL-Lücke. Mit der Aktion Heartsafe bietet sie Kunden 50 Prozent Rabatt auf die Swisssign-SSL-Zertifikate.

Tags
Webcode
cxkLw6cP

Kommentare

« Mehr