Heartbleed: BSI sieht weiteren Handlungsbedarf
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat per Pressemitteilung bekannt gegeben, dass es noch immer weiteren Handlungsbedarf beim Heartbleed Bug sieht.
Aufgrund der Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek, die am 7. April 2014 bekannt wurde, erfolgten am 8. April 2014 die
BSI-Informationen mit Handlungsempfehlungen an die Unternehmen der Kritischen Infrastrukturen, an die Behörden im Bund und in den Ländern sowie an die Mitglieder der Allianz für Cyber-Sicherheit, damit die Sicherheitslücke bei betroffenen IT-Systemen mit dem veröffentlichten Update geschlossen und die Zertifikate erneuert werden.
Inzwischen haben viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch das Sicherheitsupdate geschlossen und die Zertifikate erneuert. Das BSI stellte jedoch fest, dass derzeit noch viele Webseiten zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen für "Heartbleed"-Angriffe verwundbar sind. Solche Webseiten werden oftmals ohne professionellen Update-Prozess betrieben.
Dies ist daher kritisch, da das BSI weiterhin großflächige Scans nach für "Heartbleed" verwundbaren Servern registriert. Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die OpenSSL einsetzen, im Fokus.
Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt auch für Sicherheitskomponenten, die OpenSSL einsetzen, wie zum Beispiel Firewalls. Betreiber von Webservices können mit der Analyse-Software OpenVAS (Open Vulnerability Assessment System) prüfen, ob ihre Anwendung vom "Heartbleed Bug" betroffen ist.
Das BSI bewertet den Aufwand für einen Angreifer als sehr hoch, den privaten SSL-Schlüssel des Serverbetreibers auszulesen. Trotzdem sollten sicherheitshalber SSL-Zertifikate von Servern, die verwundbar waren, ausgetauscht werden.
Die "Heartbleed"-Schwachstelle ist für großflächige, ungezielte Angriffe geeignet. Sie ist dazu geeignet, auf opportunistische Weise ausgenutzt zu werden. Das bedeutet, Angreifer fangen unterscheidungslos Daten ab. "Heartbleed" kann nicht genutzt werden, um gezielt das Passwort eines gewünschten Benutzers auslesen. Jedoch ist es leicht möglich, Passwörter der Nutzer, die aktuell in einem von der Schwachstelle betroffenen Dienst eingeloggt sind, auszulesen.
Quelle: Pressemitteilung
