Heartbleed-Bug – Programmierfehler verursacht Sicherheitslücke bei SSL-verschlüsselten Webdienstleistungen

Nach Bekanntwerden des Heartbleed-Bugs werden Internetnutzer massiv aufgefordert, ihre Passwörter für Webdienste und Mailaccounts zu ändern. Viele prominente Webdienstleister, die eine für den Heartbleed anfällige OpenSSL-Version in ihren Programmen verwendet haben, haben zügig ihre Server abgesichert und die SSL-Zertifikate erneuert. Nach der Beseitigung der Sicherheitslücke ist die Änderung des Passworts in vielen Fällen sinnvoll. Von der Heartbleed-Internet-Sicherheitslücke sind viele prominente Anbieter von Webdienstleistungen, Produkten und Programmen, wie z.B. soziale Netzwerke (Facebook, Instagram, Tumblr…), Mail-Anbieter (Gmail, Yahoo Mail…), Video- oder Fotoportale (Youtube, Flickr…) und andere Unternehmen bzw. Produkte (dropbox, wordpress, Amazon Web Services, Google…) betroffen. Eine Liste der betroffenen Dienstleister hat Mashable in seiner Heartbleed-Hit-List bereitgestellt:
The Heartbleed Hit List: The Passwords You Need to Change Right Now

Programmierfehler in der OpenSSL-Software ist Sicherheitsrisiko für Webserver und andere OpenSSL gesicherte Softwareanwendungen
Der als Heartbleed-Bug bezeichnete schwerwiegende Programmierfehler stellt ein Sicherheitsrisiko für mit OpenSSL gesicherte Verbindungen im Internet dar, d.h. bei Verwendung des fehlerhaften OpenSSl-Moduls sind die https-geschützten Verbindungen, die Schlüssel bzw. Passwörter und die Daten gefährdet. Durch Ausnutzung der SSL-Lücke ist es somit bspw. möglich, auf Login-Daten im Klartext sowie die hinterlegten Daten selbst zuzugreifen. Ein Passwortwechsel bei betroffenen Web-Dienstleistungen ist daher insbesondere dann sinnvoll, wenn dort Kontodaten oder andere sensible Daten gespeichert worden sind. Dass bereits auf sensible Nutzerdaten zugegriffen wurde, kann allerdings nicht ausgeschlossen werden. Laut spiegel.de bestand für Kenner der Schwachstelle in der Verschlüsselungssoftware lange Zeit die Möglichkeit, an sensible Informationen – bspw. bei großen Diensten wie Facebook, Yahoo und Google – zu gelangen.

Auswirkungen von Heartbleed in Firmennetzwerken

Microsoft-Services sind von Heartbleed-Sicherheitslücke nicht (direkt)betroffen
Die Betriebssysteme sowie das Webserverprodukt von Microsoft (IIS) sind nicht von diesem Bug betroffen, sie setzen für die Verschlüsselung statt des verwundbaren Moduls OpenSSL eine selbst entwickelte Software ein. Unternehmen, die Outlook Web Access oder SharePoint einsetzen bzw. bereitstellen, müssen hier also nichts befürchten. Laut spiegel.de sind Microsoft und Apple nicht „direkt“ betroffen: „Hier kommt es aber auf die Software an, die Nutzer zusätzlich installiert haben und die womöglich OpenSSL einsetzt, wie die bereits genannten VPN-Clients. Anders sieht es bei Linux aus, wo OpenSSL ins Betriebssystem integriert ist.“

Überprüfung von Webservern und webbasierten Softwareanwendungen notwendig
Einige Softwareprodukte oder sogenannte Appliances (Kombinationen aus Hard- und Software, z.B. Firewallgeräte) von Drittanbietern bringen eigene Webserver mit und setzen dabei häufig (aber auch bei weitem nicht immer) auf das kostenfrei verwendbare OpenSSL-Modul. Das bedeutet immer noch nicht zwangsläufig, dass die Produkte betroffen sind, nicht immer wird das Modul auch in der verwundbaren Version eingesetzt. Möglicherweise betroffen sind also einerseits alle Softwareprodukte, die die Benutzer über verschlüsselte Webseiten (mit https://-Vorspann) verwenden. Das können z.B. Ticketsysteme, Abrechnungs- und Projektsteuerungssoftware, Wikis etc. sein. Andererseits können aber auch Firewalls, die z.B. SSL-VPN-Einwahlen bereitstellen, betroffen sein.

Generell gilt: Für Webseiten oder -dienste, die im Internet freigegeben sind oder waren, ist wirklich rasches Handeln erforderlich. Wir empfehlen zuerst eine Klärung mit dem Hersteller, sehr viele haben bereits reagiert und entsprechende Stellungnahmen veröffentlicht. Sollte das nicht der Fall sein, ist der nächste Schritt eine Prüfung, ob überhaupt OpenSSL eingesetzt wird und wenn ja, in welcher Version. Dem in vielen anderen Medien empfohlenen Schnelltest über den Webdienst eines Drittanbieters stehen wir zumindest skeptisch gegenüber. Schließlich wird hier im Zweifelsfall einem Dritten eine Liste verwundbarer Ziele geliefert. Einen solchen Test empfehlen wir also nur für den Fall, dass man sich ganz sicher zu einer sofortigen Abschaltung des Dienstes entschlossen hat, wenn er als verwundbar bestätigt wurde.

Gerne unterstützen wir Sie bei der Überprüfung der in Ihrem Unternehmen eingesetzten SSL-basierten Softwareanwendungen im Hinblick auf bestehende Sicherheitslücken.

Quellen:

Mashable: The Heartbleed Hit List: The Passwords You Need to Change Right Now

Heise: Heartbleed: Yahoo und Web.de raten zum Passwortwechsel

Spiegel: Heartbleed: Sicherheitslücke könnte bereits ausgenutzt worden sein