OpenSSL-Sicherheitslücke

Heartbleed bedroht weiterhin 3 von 4 Firmen

Heartbleed war scheinbar vom Tisch, doch laut einer neuen Untersuchung sind weiterhin 3 von 4 Firmen durch die OpenSSL-Sicherheitslücke gefährdet.

Heartbleed: Die Sicherheitslücke betrifft zwei Drittel aller Webserver.

© heartbleed.com

Heartbleed: Kaum jemand kümmert sich um das Schließen der gravierenden Lücke.

Im April 2014 begann Heartbleed bei Nutzern und vor allem Firmen Panik auszulösen. Der englische Begriff steht für eine gravierende Sicherheitslücke in den weitläufig eingesetzten quelloffenen OpenSSL-Bibliotheken. Das OpenSSL-Projekt machte die Details zum Sicherheitsleck vor rund einem Jahr öffentlich und brachte direkt ein Update heraus, das von den Problemen befreit wurde. Anscheinend haben jedoch viele Firmen nicht reagiert und sind weiterhin anfällig für Abfangversuche eigentlich verschlüsselt geglaubter Informationen.

Einer Untersuchung des Sicherheitsunternehmens Venafi Labs zufolge sind weltweit etwa 74 Prozent der Firmen mit Websites beziehungsweise via Web zugänglichen Computersystemen gefährdet. Auf diese Zahl kommt die Firma nach einer Analyse der sogenannten "Global 2.000"-Organisationen. Dabei handelt es sich um die 2.000 größten börsennotierten Unternehmen. 1.642 davon bieten einen Webzugang von denen etwa 1.216 Firmen gefährdet sind. Das Erschreckende: Laut des Venafi-Berichts lag diese Zahl im April des Vorjahres bei 76 Prozent. Nach dem medialen Aufschrei rund um Heartbleed haben also gerade einmal 2 Prozent der 1.642 Firmen reagiert.

Lesetipp: Anti Virus Test 2015

Venafi gibt Handlungsempfehlungen für Unternehmen, die ebenso für private Website-Betreiber bindend sein sollten:

  • Aktualisieren Sie eingesetzte OpenSSL-Bibliotheken.
  • Verschaffen Sie sich einen Überblick über alle Zugänge und Zertifikate und erneuern Sie sie.
  • Denken Sie daran, die alten Daten unbrauchbar zu machen.
  • Testen Sie Ihr System gründlich auf die umgesetzten Veränderungen.

Was ist Heartbleed?

Die so genannte "Heartbleed"-Lücke (= Herzbluten) steckt in der Heartbeat-Funktion der OpenSSL-Software. Darüber tauschen zwei Kommunikationspartner Statusinformationen aus. Die Schwachstelle (CVE-2014-0160) ermöglicht es beiden, bei der Gegenstelle bis zu 64 KB Daten pro Heartbeat aus dem Arbeitsspeicher auszulesen. Darin stecken zum Beispiel private Schlüssel für Server-Zertifikate, Benutzernamen und Passwörter, sowie weitere, verschlüsselt übertragene Daten, etwa zu Banktransaktionen wie Überweisungen.

Ein Angreifer kann ohne gültige Anmeldedaten und ohne gültiges Zertifikat bereits in der Anfangsphase der Kontaktaufnahme (Handshake) eine Heartbeat-Anfrage senden und so vertrauliche Daten auslesen. Mit jeder neuen Heartbeat-Anfrage kann er weitere 64 KB Daten ausspionieren. In den Log-Dateien eines Servers hinterlässt ein solcher Angriff keinerlei Spuren, kann also im Nachhinein nicht festgestellt und vor allem nicht ausgeschlossen werden.

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!