Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Der Schlüssel zum offenen SSL-Herzen

Die als „Heartbleed“ bezeichnete Sicherheitslücke in OpenSSL ist nicht nur deshalb gefährlich, weil sich gar nicht feststellen lässt, ob sie tatsächlich missbraucht wurde. Vielmehr hat die Mehrzahl der Privatanwender und Unternehmen auch gar nicht die Möglichkeit, das Problem mit der Version 1.0.1.g der quelloffenen SSL-Verschlüsselung, bei der diese Lücke geschlossen wurde, zu lösen. Hinzu kommt: Viele Dienste, Server oder Produkte mit OpenSSL verzichten auf „Perfect Forward Secrecy“ (PFS). Angreifer können dadurch unbemerkt Sitzungs- und Langzeitschlüssel entwenden und sämtliche Kommunikation auch im Nachhinein entschlüsseln und lesen.

 

Viel war in den letzten Wochen als Reaktion auf die NSA-Enthüllungen über die Notwendigkeit zu lesen und zu hören, dass sämtliche Transaktionen und Kommunikationen im Internet verschlüsselt sein sollten. Zahlreiche Hersteller und Diensteanbieter haben entsprechend reagiert. Und jetzt das: Mit der jüngst bekannt gewordenen Sicherheitslücke in OpenSSL können Angreifer völlig unbemerkt Speicherinhalte auf dem Server, wie z.B. die privaten SSL-Schlüssel, auslesen und den sinnvollen Schutzmechanismus der Verschlüsselung aushebeln. Schlimmer noch: Die möglichen Opfer haben nur sehr eingeschränkte Möglichkeiten, sich zu wehren.

 

Denn OpenSSL ist in vielen Produkten „fest eingebaut“. Selbst Security-Experten in Unternehmen sind daher darauf angewiesen, auf eine entsprechende Aktualisierung seitens der Hersteller zu warten. Und das gegenwärtige Problem dadurch zu umgehen, dass die Verschlüsselung temporär ausgeschaltet wird, dürfte in den wenigsten Fällen sinnvoll und machbar sein.

 

Während Privatanwender ohne Programmierkenntnisse weiter ausharren müssen, bleiben den Sicherheitsexperten in den Unternehmen kurzfristig zwei Optionen:

 

* Sie sollten prüfen, ob die Dienste oder Server, die sie mit OpenSSL nutzen, auch PFS-Schutz bieten. Denn dann ist in den allermeisten Fällen sichergestellt, dass selbst beim Auslesen des Langzeitschlüssels die zurückliegenden Sitzungsschlüssel nicht entschlüsselt werden können. Die von Online-Kriminellen oder Industriespionen mitgelesene Kommunikation ist dadurch vor dem Entschlüsseln geschützt. PFS ist also unbedingt ein Muss.

 

* Die Unternehmen sollten Lösungen einsetzen, die Sicherheitslücken bis zur nächsten Patchmöglichkeit abschirmen können. Diese lassen sich auch kurzfristig installieren und anwenden. Zusätzlich lässt sich damit beobachten, ob versucht wird, die Schlüsseldaten zu entwenden.

 

Weitere Informationen unter:

http://blog.trendmicro.de/herzschlag-aussetzen-analyse-der-heartbleed-openssl-sicherheitsluecke/

Zurück