Bund publiziert Empfehlungen zum OpenSSL-Problem
Die aktuelle Lücke in der Verschlüsselungsbibliothek OpenSSL betrifft unzählige Internetnutzer. Die Melde- und Analysestelle Informationssicherung des Bundes hat nun Empfehlungen zum Umgang mit dem Bug publiziert.
Eine Lücke in der Verschlüsselungsbibliothek OpenSSL betrifft zurzeit unzählige Nutzer des Internets direkt oder indirekt. Durch die Lücke können Angreifer einen Teil des Speichers eines Servers auslesen, in dem sich die von Benutzern übertragenen Daten während eines kurzen Zeitpunkts befinden und damit Passwörter, Transaktionsdaten, aber auch Daten des Servers stehlen. Die Netzwoche hat bereits über das Problem berichtet.
Infos bei Heartblee, Fox-IT oder OpenSSL
Nun hat die Melde- und Analysestelle Informationssicherung des Bundes (Melani) Empfehlungen zum Umgang mit dem Problem herausgegeben. Service-Providern empfiehlt Melani, sich bei Heartbleed, Fox-IT oder OpenSSL zu informieren. Grundsätzlich gelte: Nutzer von OpenSSL 1.0.1 und 1.0.2beta sind betroffen, frühere Versionen nicht. Sämtliche Dienste, die diese Bibliotheken verwenden, sind verwundbar.
Besonders aufgepasst werden muss bei Servern, die beispielsweise für Smartphone-Apps, Chatdienste, Cloud-Speicher, Streaming-Dienste, Mail-Dienste oder OpenVPN-Zugänge genutzt werden. Auch Netzwerkgeräte wie Router und Switches sind anfällig. OpenSSL 1.0.1g ist die erste Version, in welcher die Lücke beseitigt wurde.
Melani empfiehlt Workaround
Melani empfiehlt ausserdem dringend, innerhalb der nächsten 24 bis 48 Stunden das entsprechende Update einzuspielen und bei heiklen Diensten die Zertifikate und Zugangsdaten auszutauschen. Bei Diensten, bei denen die Anforderungen an Vertraulichkeit oder Integrität höher als die Anforderung an Verfügbarkeit sind, kann ein temporäres Ausschalten der Dienste gerechtfertigt sein. Als Folgeschaden eines Angriffs müsse in Betracht gezogen werden, dass Zugangsdaten potentiell kompromittiert worden sind.
Ein möglicher Workaround sei, einen grossen Teil des betroffenen Netzverkehrs über zentrale Access-Systeme zu leiten, die bereits aktualisiert worden sind. Die übrigen Systeme können dann nach und nach gepatcht oder dauerhaft hinter diesen Access-Systemen platziert werden..
Empfehlungen für Endbenutzer
Für die Endbenutzer, so Melani, sei es sehr schwierig, sich zu schützen, ausser man verzichte auf sämtliche heiklen Transaktionen im Internet bis die jeweiligen Dienstleister die Lücke beseitigt hätten. Es sei unbekannt, seit wann die Lücke ausgenutzt werde. Sicherlich gut wäre es aber laut Melani, alle Passwörter zu ändern, die für kompromittierte Dienste verwendet worden sind. Ausserdem sollten allfällige Sicherheitsaktualisierungen auf Heimgeräten wie NAS, Speicher und Router eingespielt werden.
Auch Posttochter Swisssign reagiert auf Heartbleed
Auch Swisssign, Tochter der Schweizerischen Post, reagierte auf die OpenSSL-Lücke. Mit der Aktion Heartsafe bietet sie Kunden 50 Prozent Rabatt auf die Swisssign-SSL-Zertifikate.
Boston Dynamics stellt neuen Atlas-Roboter für kommerzielle Nutzung vor
Update: Das sagt der neue Schweiz-Chef von Extreme Networks
Umfassende Cybersicherheit für OT-Umgebungen
Cybersicherheit mit Infinigate Cloud
Die wichtigsten Werkzeuge für die Abwehr
Adnovum bekommt neuen Managing Director Financial Services
Endpoint Detection and Response als Managed Service nutzen
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
"Wir suchen Partner, die wachsen möchten"
