Frage der Woche: Heartbleed (Teil 1)
Die OpenSSL-Sicherheitslücke “Heartbleed” hat in den letzten Wochen für Furore gesorgt. Viele Sicherheitsspezialisten empfehlen den Usern, sämtliche Passwörter zu ändern, um die Sicherheit ihrer Konten wieder zu gewährleisten. Das ist aber nicht so einfach, da keineswegs davon ausgegangen werden kann, dass alle Dienste ihre Server bereits aktualisiert haben. Außerdem ergeben sich aus der Tatsache, dass sich alte Zertifikate nicht so einfach zurückrufen lassen (beziehungsweise daraus, dass das nicht überprüft wird) weitere Probleme. Heartbleed wird uns also voraussichtlich in Zukunft weiterhin beschäftigen. Grund genug, das Thema im Rahmen der Frage der Woche unter die Lupe zu nehmen. Wir haben unsere Spezialisten gefragt, was genau wegen Heartbleed zu tun ist. Aufgrund der großen Resonanz auf unsere Anfrage können wir nicht alle Antworten auf einmal veröffentlichen. Wir machen stattdessen eine Serie daraus. Heute geht es los mit den Kommentaren von Netgear, der Sachsen DV Betriebs- und Servicegesellschaft, Checkpoint, Covisint und SecurEnvoy.
Danny Ullrich, Senior Marketing Manager Central Europe, Retail Business Unit bei Netgear, erklärt: “Netgear kann bestätigen, dass die Router nicht von der Heartbleed Lücke betroffen sind. Netgear bietet ein Firmware Upgrade an, um eine Ausnutzung der Heartbleed Sicherheitslücke in unseren Storage Produkten zu verhindern und bittet daher alle Kunden Ihre ReadyNAS-Produkte auf die aktuelle Firmware 6.1.7 upzudaten. Ältere Versionen der NETGEAR ReadyNAS-Produkte verwenden eine ältere Version von Open SSL und sind daher nicht von der Sicherheitslücke betroffen. Wir empfehlen ein Firmware-Upgrade auf Version 6.1.7 für die folgenden Modelle: RN102/RN103 Serie, RN312/314 Serie, RN516 Serie, RN716 Serie, RN3220 und RN4220.”
“Fragen Sie all Ihre Provider, ob eventuell vorhandene Lücken geschlossen wurden und wann die Zertifikate ausgetauscht wurden”, meint Herbert Roller Brandão, Geschäftsführer der Sachsen DV Betriebs- und Servicegesellschaft mbH. “Erst wenn beide Bedingungen erfüllt sind, kann ein Missbrauch verhindert werden. Auch wenn es lästig erscheint, sollte man unbedingt pro Dienst individuelle Passwörter verwenden. Ein gutes Tool, das die Verwaltung erleichtert, ist zum Beispiel das kostenlose KeePass.”
“Es ist wirklich wichtig, dass die Menschen beim Klicken auf Links in E-Mails, die sie von Unternehmen oder Organisationen bekommen, die behaupten, ihre Sicherheit sei in Folge der Hearbleed-Schwachstelle beeinträchtigt, vorsichtig sind, gleich, wie plausibel die E-Mails zu sein scheinen”, fügt Dietmar Schnabel, Regional Director Central EMEA bei Check Point, hinzu. “Es besteht ein echtes Risiko, dass es sich dabei schlichtweg um Phishing-E-Mails handelt, die darauf abzielen, die Nutzer zur Preisgabe ihrer persönlichen Daten und Passwörter zu verleiten.”
Dave Miller, Chief Security Officer bei Covisint: “Wichtig ist, dass sich Unternehmen proaktiv gegen solche Vorfälle wappnen, indem sie Experten einstellen, die den Grad der möglichen Verletzbarkeit des Unternehmens verstehen und schnellstmöglich die Schwere von Problemen und das Ausmaß der Schäden genau einordnen können. Betrifft das Problem jeden Kunden oder Mitarbeiter, oder nur eine Teilmenge in manchen Regionen? Dies erfordert eine gründliche, Bestandsaufnahme aller Systeme und Architekturen, um im Fall der Fälle schnell und zielgerichtet mit geeigneten Patches reagieren zu können. Zudem sollte im Voraus ein Kommunikationsplan entwickelt werden.”
“Um Identitätsdiebstähle durch Heartbleed und Co. zu verhindern, empfehlen wir Zwei-Faktor-Authentifizierung”, so Andy Kemshall, Technical Director bei SecurEnvoy. “Neben persönlichen Nutzerdaten erfordert der Login einen Passcode. Bei Lösungen wie SecurAccess ist dieser Code nur einmal gültig, was den Schutz zusätzlich erhöht. Zudem ist der Algorithmus zur Code-Erstellung durch eine Trennung in zwei Teile niemals komplett auffind- und manipulierbar.”
[subscribe2]
