2 Minuten Lesezeit

Unser Umgang mit der Heartbleed Sicherheitslücke

Bei Mailanbietern, Banken oder Software-Anbietern jeglicher Art war es über diese Lücke zwei Jahre lang möglich, dass bei einer speziellen Serveranfrage mehr Daten als notwendig an den Anfragenden zurück geschickt wurden. Schlimmstenfalls konnten das die Anmeldedaten und sogar Passwörter von Nutzern sein, welche in aller Regel aber zusätzlich verschlüsselt und nicht etwa in Klartext gespeichert werden. 


Das Ziel eines solchen Angriffs wäre das Auslesen des Schlüssels gewesen, womit der Angreifer wiederum die verschlüsselt übertragenen Daten hätte entschlüsseln können. Vorausgesetzt, er konnte sich diese zusätzlich beschaffen. 


Noch ist unklar, ob und in wie weit die Heartbleed-Lücke von Angreifern genutzt wurde, bevor sie am Montag entdeckt wurde. Allerdings ist es durch die Art der Sicherheitslücke auch schwer, einen Angriff nachzuweisen. Die US-Bürgerrechtsorganisation Electronic Frontier Foundation berichtet von einem möglichen Fall im vergangenen November: Von zwei IP-Adressen, die zu einem größeren Botnetz gehören sollen, sei eine verdächtige Abfrage erfolgt.


Darüber, wer das Sicherheitsleck verbockt hat und warum, wollen wir an dieser Stelle nicht diskutieren. Zum einen passiert das auf deutschen Blogs schon sehr fleißig, zum andern hilft das hier niemandem. Wohl möchten wir jedoch unseren Kunden erläutern, wie wir das Thema gehändelt haben.


Als das Team von OpenSSL den Fehler am Dienstag veröffentlichte, haben wir die Lücke durch ein Update des jeweiligen Programmcodes gefixt und alle unsere Systeme wie empfohlen neu gestartet. 

Forward Secrecy Prinzip für zusätzliche Sicherheit bei CentralStationCRM

Im Gegensatz zur Mehrheit aller Systeme, die OpenSSL einsetzen, nutzen wir seit längerem eine erweiterte Form der Verschlüsselung. Wir erstellen automatisiert alle 30 Minuten neue Sicherheitsschlüssel nach dem Forward Secrecy Prinzip, was das Entschlüsseln historischer Daten deutlich unwahrscheinlicher macht. Wenn jemand durch die Sicherheitslücke den Schlüssel der Verschlüsselung erfährt, hilft ihm dies nur zur Entschlüsselung von Daten in dem jeweiligen 30-minütigen Zeitraum, nicht aber weiter rückwirkend. 


Im Vergleich zu einigen großen Diensten, wie Google, Yahoo! oder Web.de wäre ein Angriff auf unsere Systeme also deutlich unattraktiver gewesen. 


Nichtsdestotrotz möchten wir auch unsere Nutzer darauf hinweisen, dass eine regelmäßige Änderung des Passwortes hilft, um weitere Risiken zu minimieren. Bei welchen großen Diensten Sie definitiv Ihre Passwörter ändern sollten, hat Mashable einmal aufgelistet.


Autor
Sven Sester