Frage der Woche: Heartbleed (Teil 3)

FDW

Hier kommt nun der dritte Teil unserer Frage der Woche zum Thema “Heartbleed”. Heute äußern sich die Unternehmen Talend, Jakobsoftware, Gemalto, F5 Networks und McAfee.

MTuchen-hires

“Vor kurzem wurde ein schwerwiegender Bug in der Software OpenSSL entdeckt, einem Open-Source Verschlüsselungs- und Sicherheits-Layer, der von vielen Websites und Online-Anwendungen genutzt wird”, so Mike Tuchen, CEO von Talend. “Dieser Bug gefährdet die Sicherheitsstruktur des Internets. Sichere Verbindungen können seitdem nicht mehr als vertrauenswürdig betrachtet werden, denn Hacker können auf User IDs und Passwörter oder im schlimmsten Fall auf private Verschlüsselungs-Codes, die alle Verbindungen absichern, zugreifen. Eine Menge Artikel haben hervorgehoben, wie klein und unterfinanziert das OpenSSL-Team ist und wie der freiwillige Open-Source Entwicklungsansatz Probleme verursachen kann. Wenn man die Kommentare zu den Beiträgen liest, kann man zu dem Schluss kommen, dass ein proprietärer Ansatz besser wäre. Ich glaube, dass gerade der Open-Source-Ansatz von OpenSSL wichtige Vorteile in dieser Situation hatte. Der kritische Blick der Open-Source-Community hat funktioniert. Nach den Snowden-Enthüllungen haben Entwickler begonnen, Verschlüsselungsalgorithmen auf Schwachstellen hin zu untersuchen. Ein Ergebnis dieser kritischen Überprüfung ist, dass die Fehlerstelle von zwei Entwicklern unabhängig voneinander binnen eines Monats entdeckt wurde. Wenn die Software Closed-Source gewesen wäre, dann wäre sie vielleicht von einigen böswilligen Stellen entdeckt aber niemals veröffentlicht worden. Hinzu kommt, dass durch die Community weitere mögliche Schwachstellen in OpenSSL entdeckt wurden, die wohl nie entdeckt worden wären, wenn es sich nicht um Open-Source gehandelt hätte Ein Beispiel dafür ist ein spezielles Speichermanagement-Verfahren, das die Speicherverwaltung des zugrunde liegenden Betriebssystems umgeht. Am Ende des Tages ist sicher, mit einem Closed-Source-Ansatz wären die Sicherheitslücken wohl nie entdeckt geschweige den veröffentlicht worden – so weit verbreitet das Problem also war, ist es besser als die Alternative.”

Dirk Knop

Dirk Knop, Sicherheitsexperte beim Value Added Distributor von IT Security-Lösungen Jakobsoftware, fügt hinzu: “Die Heartbleed-Sicherheitslücke hat große Teile der Sicherheitsinfrastruktur im Internet wortwörtlich mitten ins Herz getroffen: Die OpenSource-Bibliothek OpenSSL, die eigentlich zur Verschlüsselung und zum Schutz dienen soll, hat Angreifern Zugangsdaten auf dem Silbertablett serviert. Es bleibt leider keine andere Möglichkeit, als die Server abzusichern – sprich, auf eine nicht-verwundbare SSL-Bibliothek zu aktualisieren. Zudem steht für Serverbetreiber ein Zertifikatstausch an. Das ist ein größerer Verwaltungsakt. Nutzer solcher Dienste können überprüfen, ob diese noch anfällig für die Heartbleed-Attacke sind. Seriöse Sicherheitsdienstleister wie Qualys bieten einen solchen Test kostenlos an: https://www.ssllabs.com/ssltest. Ist die Lücke nicht mehr vorhanden, war es aber zuvor, ist es hilfreich und dringend angezeigt, das Passwort zu ändern. Dienste, die zu diesem Zeitpunkt noch verwundbar sind, sollte man aus Sicherheitsperspektive eher meiden und den Zugang dort löschen. Um sichere Passwörter zu erstellen und zu verwalten, ohne sich diese kompliziert zu merken, hilft zudem ein Passwort-Safe wie Sticky Password. Damit hat man komplexe, schwer zu knackende Passwörter unter einer Haube und kann auf diese mit einem einzigen Master-Passwort zugreifen.”

Karsten Pfeifer Photography Munich

“Zunächst müssen die IT-Verantwortlichen sicherstellen, dass ihre Software auf einem sauberen System ohne Viren oder andere Schadsoftware läuft”, erklärt Andreas Schremmer, Director Sales Central and Northern Europe für Identity & Security Services bei Gemalto. “Im zweiten Schritt sollten sie auf eine Zwei-Faktor-Lösung zur sicheren Authentifizierung der Benutzer setzen, zum Beispiel Gemalto Protiva IDConfirm 1000. Dabei wird ein Hardware Token, ein Mobile Token oder eine Smart Card mit einer PIN kombiniert. Das Token generiert ein One-Time-Password (OTP), das nur einmalig gültig ist und somit für jeden Zugangsvorgang neu erstellt wird.”

Ralf Sydekum_

“Für End User gibt es leider kein Patentrezept, um sich vor den Auswirkungen der Heartbleed-Schwachstelle zu schützen, da man sich in der Tat nicht darauf verlassen kann, dass die jeweiligen Dienstanbieter diese Lücken zeitnah eliminiert haben”, fügt Ralf Sydekum, Technical Manager DACH bei F5 Networks hinzu. “Dennoch ist es sicherlich angeraten, das Passwort-Verhalten eines jeden Einzelnen zu überprüfen und gegebenenfalls anzupassen, also zum Beispiel grundsätzlich unterschiedliche Passwörter für die verwendeten Dienste einzusetzen. Damit die Heartbleed-Problematik aus Sicht der Service Provider recht zügig gelöst werden kann, empfehlen wir beispielsweise den Einsatz von Application Delivery Controllern (ADC) als SSL-Terminierung vor den Webservern. Da sich die ADC und Web-Anwendungen in der Regel in derselben DMZ befinden, ist eine Verschlüsselung im Backend nicht erforderlich und mit dem Beseitigen der serverseitigen Lücken kann man sich dann tatsächlich etwas mehr Zeit lassen. Dieses als ‘Offloading’ bezeichnete Verfahren ist natürlich nur dann sinnvoll einsetzbar, wenn der verwendete ADC seinerseits nicht von der Schwachstelle betroffen ist beziehungsweise mittlerweile schon gepatcht wurde.”

HansPeterBauer

Hier die Meinung von Hans Peter Bauer, Vice President Central Europe bei McAfee: “Wir raten Nutzern in Unternehmen ihre Passwörter erst zu ändern wenn sie mit dem McAfee Testtool überprüft haben, ob die Online-Dienste die sie nutzen, die OpenSSL-Lücke durch Aktualisierung ihrer Server geschlossen haben. Müssen Passwörter aktualisiert werden, sollten diese möglichst komplex gewählt werden. Doch Vorsicht vor Pishing-Attacken, also Angriffen Dritter, die sich als Betreiber von bestimmten Diensten ausgeben, um die Zugangsdaten des Nutzers zu erhalten.”

[subscribe2]