Sysbus
Security

Frage der Woche: Heartbleed (Teil 2)

gg

Hier kommt nun der zweite Teil unserer Frage der Woche zum Thema “Heartbleed”. Heute äußern sich die Unternehmen Secunia, Dell (SonicWALL), Bitdefender, F-Secure und ProSoft.

“Schadensbegrenzung ist das Gebot der Stunde seitdem Heartbleed bekannt ist: Kleinere Anbieter, die nur wenige gefährdete Programme in ihrem Portfolio haben, müssen nur einige Updates, also Patches, aufspielen”, so Kasper Lindgaard, Head of Research bei Secunia. “Aber größere Anbieter wie Cisco, IBM oder HP müssen langfristig mit enormem Aufwand rechnen, um die Folgen von Heartbleed zu beseitigen.”

Sven Janssen, Regional Sales Manager bei Dell (SonicWALL Products), fügt hinzu: “Die Betreiber von verwundbaren Servern können mit geeigneten Next-Generation- oder Unified-Threat-Management-Firewalls Angriffe am Netzwerk-Perimeter stoppen. Das verschafft ihnen wertvolle Zeit, um die gefährdeten Server und andere anfällige Infrastrukturen zu patchen. Entscheidend ist dabei, dass die Firewalls eine aktive Intrusion Prevention bieten, die in der Lage ist, eingehenden SSL/TLS-Traffic zu analysieren und Verbindungen zu unterbrechen, die schadhafte Standard-TLS-Heartbeats oder schadhafte verschlüsselte TLS-Heartbeats enthalten.”

“Aufgrund der Beschaffenheit der Heartbleed-Lücke hat der User nahezu keine Chance sich zu wehren”, erklärt Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender. “Wenn die Server verwundbar sind, laufen die Anwender Risiko, dass ihr Traffic abgefangen und entschlüsselt wird oder ihre Passwörter geklaut werden. Den Schaden kann man nur eindämmen, wenn man den betroffenen Server direkt vom Internet trennt. Mittlerweile gibt es eine ganze Reihe von Browser Add-Ons wie ‘Stopbleed’ oder ‘Chromebleed’, die verwundbare Server automatisch identifizieren und die Anwender entsprechend informieren. Wenn der Sever den Check des Add-Ons stand hält, sollten die betroffenen Nutzer ihr Password direkt beim ersten Login ändern.”

Rüdiger Trost, Sicherheitsexperte bei F-Secure: “Heartbleed zeigt mal wieder, dass ein sicheres Passwort nicht hilft, wenn man das gleiche für verschiedene Dienste verwendet. Hier kommen Passwort Manager ins Spiel, auch wenn es ungewohnt ist, sollte man nicht mehr ohne arbeiten. Diese Tools helfen dabei ein sicheres Passwort zu erzeugen, und stellen das auf verschiedenen Devices bereit. Ein Beispiel für ein solches Tool ist F-Secure Key.”

“Die Vorfälle häufen sich, zuerst im Januar der Hinweis des BSI auf den Diebstahl von 16 Millionen Passwörtern, Anfang April dann die nächste Meldung, wieder waren 18 Millionen Passwörter entwendet worden. Seit ein paar Wochen müssen wir uns nun über eine Sicherheitslücke in OpenSSL sorgen machen”, bemerkt Robert Korherr, CEO bei ProSoft. “Daraus lassen sich zwei Schlüsse ziehen: Erstens wir brauchen einen besseren Passwortschutz und zweitens: wir brauchen eine bessere Verschlüsselung als OpenSSL oder Alternativen, um sicherzustellen, dass sich niemand Unbefugtes Zugang zu unseren Daten oder Web Applikationen verschafft. Ein Lösungsansatz wäre die Einführung eines zweiten Faktors bei der Authentifizierung. Nicht zuletzt deshalb hatten in der Vergangenheit Social Media-Kanäle wie Facebook, Twitter & Co. ähnliche Schritte unternommen. Bei einer Zwei-Faktor Authentifizierung benötigt ein User zusätzlich ein Einmal-Passwort für den Remote Zugriff auf Netzwerke oder Web- beziehungsweise Cloud Applikationen. Wird das Einmal-Passwort ‘tokenless’ über ein Smartphone generiert oder per SMS gesendet, dann bräuchte ein Hacker Zugriff auf das mobile Device. Ohne das Einmal-Passwort einer vorgeschalteten Zwei-Faktor Authentifizierung sind ausgespähte statische Login-Daten nutzlos. Abfangen bringt nichts, bei der Übertragung wird das Einmal-Passwort mit der starken 256-bit AES-Verschlüsselung codiert.”

[subscribe2]

Ähnliche Beiträge:

  1. Frage der Woche: Heartbleed (Teil 4)
  2. Frage der Woche: Heartbleed (Teil 1)
  3. Frage der Woche: Heartbleed (Teil 3)
  4. McAfee zu Heartbleed: Ändern Sie Ihr Passwort – nicht. Testen Sie erst.

Das könnte dir auch gefallen

Bomgar Secure Cloud für Remote Support jetzt in Europa verfügbar

gcg

IFASEC: Mehr IT-Sicherheit aus der Cloud

gcg

Dropbox präsentiert neue Kollaborations-Lösung für Großunternehmen und Konzerne “Dropbox Enterprise”

gcg
Die mobile Version verlassen
%%footer%%