Die „Heartbleed“ getaufte Lücke in der Verschlüsselungssoftware OpenSSL sorgte in den letzten Wochen für viel Aufsehen in den Medien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt noch keine Entwarnung dazu. Zu der Sicherheitslücke wurden am 08. April 2014 vom BSI Handlungsempfehlungen veröffentlicht, damit die Sicherheitslücke von den Betroffenen geschlossen werden konnte.
So wurden Betreiber, die auf ihren Servern OpenSSL einsetzen, angehalten, das Update OpenSSL Version 1.0.1g einzuspielen. Weiter hieß es in der Mitteilung des BSI: „Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.“
Inzwischen haben zahlreiche Betreiber darauf reagiert und Updates eingespielt sowie Zertifikate ausgetauscht. Allerdings gibt es nach Angaben des BSI immer noch viele kleinere Webseiten, die bislang keine Konsequenzen daraus gezogen haben. Die Angreifer konzentrieren sich mittlerweile nicht nur auf die Webserver, sondern auch auf andere Systeme, die OpenSSL einsetzen. Deshalb sollten auch E-Mail-Server, Server für Video- und Telefonkonferenzen, weitere von außen erreichbare Server sowie Firewalls auf die Schwachstelle hin untersucht werden.
Weitere Informationen können unter www.bsi.bund.de eingesehen werden.
Externe Quelle: bsi.bund.de