OpenSSL Heartbleed-Bug: Sicherheitslücke mit weitreichenden Folgen

Eine Panne mit weitreichenden Folgen und vielen Fragen. Als vor wenigen Tagen erstmals über den schweren Programmierfehler bei OpenSSL berichtet wurde, war die Verunsicherung über die Wirksamkeit der Datenverschlüsselung groß.

Das Ausmaß dieses Bugs wird deutlich, wenn man sich die große Menge an Meldungen vor Augen führt, die zu diesem Thema veröffentlicht worden sind.

Was war passiert?

Die Entwickler der weitverbreiteten Verschlüsselungsbibliothek OpenSSL haben ein Update (Version 1.0.1g) veröffentlicht und damit eine Lücke geschlossen. Diese ermöglicht es Angreifern, Schlüssel, Passwörter und weitere geheime Daten abzugreifen.

Angesiedelt ist dieser Bug in der sog. Heartbeat-Funktion (Herzschlag), welche anhand von Statusinformationen überprüft, ob der jeweilige Kommunikationspartner noch aktiv ist. Mangels Überprüfung eines Speicherzugriffs ist es Angreifern hierdurch möglich, unbemerkt Daten bei der Gegenstelle auszulesen und hierdurch z.B. Zertifikatsschlüssel, Authentifizierungsdaten oder auch verschlüsselte Inhalte abzuschöpfen.

Wer ist betroffen?

Grundsätzlich sind sämtliche Betreiber betroffen, die verschlüsselte Dienste anbieten. Insbesondere betrifft dies VPN-, Mail-, Server-Anbieter und viele weitere Dienste, die die OpenSSL-Bibliothek verwenden. Die Problematik betrifft jedoch nicht nur größere, sondern auch private Dienste (z.B. Router, selbst aufgesetzte Server, ect.), sofern für die Verschlüsselung die OpenSSL-Bibliothek zum Einsatz kommt.

Das Ausmaß der betroffenen Anbieter ist nicht zu unterschätzen! Um sich einen Überblick einiger Betroffener zu verschaffen, lohnt ein Blick auf die Mashable-Website, wobei der Fokus dort auf us-amerikanischen Anbietern liegt.

Aufgrund der Tragweite dieses kritischen Problems stellt sich die Frage, wie es um die Sicherheit von Diensten steht, die hochsensible Daten über das Internet austauschen. Die Gematik z. B ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK