Unternehmensleitfaden zur Heartbleed-Schwachstelle

Was Unternehmen über Heartbleed wissen müssen – und wie Sie jetzt reagieren sollten
Kommentare

Was die Heartbleed-Schwachstelle ist und welche Folgen sie haben kann, haben wir im Artikel „Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?“ ausführlich beschrieben. Aber was bedeutet das für Unternehmen?

Heartbleed gefährdet Ihre Server

Über die Heartbleed-Schwachstelle kann ein Angreifer von OpenSSL genutzte Speicherbereiche ausspähen. Das erfolgt zwar ungezielt, ihm werden die Daten aus irgendwelchen von OpenSSL genutzten Speicherbereichen geschickt. Aber diese enthalten mitunter äußerst wichtige Daten, die der Angreifer nicht wissen sollte:

Auf jedem Server (Web-, Mail-, VPN-, …Server) kann etwa der private Schlüssel des Servers enthalten sein (was mehrfach bewiesen wurde). Abgelegt können auch die aus dem Schlüssel abgeleiteten, so genannten CRT-Parameter sein, die vom Server verwendet werden, um die späteren Berechnungen der Krypto-Funktionen zu beschleunigen (siehe eine Analyse eines Patches von Akamai und Akamais Antwort). Wer diese Parameter kennt, kann daraus den privaten Schlüssel berechnen. Mit dem privaten Schlüssel kann der Angreifer sich dann als Ihr Server ausgeben und Ihre Benutzer in die Irre führen.

Empfängt der Server über TLS Benutzernamen und Passwörter, können diese ebenfalls in den an den Angreifer gesendeten Daten enthalten sein (was am Beispiel von Yahoo! Mail demonstriert wurde). Speziell auf Webservern können auch Session-Cookies ausgespäht werden, mit denen der Angreifer eine laufende Sitzung eines Benutzers übernehmen kann (gezeigt am Beispiel von Flickr).

Aktualisieren Sie OpenSSL und erneuern Sie die SSL-Zertifikate

Um die Schwachstelle zu beheben, müssen die von OpenSSL veröffentlichten Updates installiert werden.

Das betrifft nicht nur Webserver, sondern auch Mailserver, Server für Video- und Telefonkonferenzen und alle anderen von außen erreichbare Server. Auch Sicherheitskomponenten wie zum Beispiel Firewalls oder VPN-Endpunkte sind betroffen. Das BSI meldet, dass das Internet inzwischen nicht nur nach verwundbaren Web-, sondern auch nach Mailservern durchsucht wird.

Da man einen Angriff nicht erkennen kann (sofern nicht zufällig die Heartbleed-Requests im Logfile protokolliert wurden), sollten sicherheitshalber die SSL-Zertifikate ausgetauscht werden. Zumindest GlobalSign, Comodo, Verisign/Symantec, RapidSSL / GeoTrust und die PSW Group geben die Zertifikats-Updates aufgrund der Heartbleed-Schwachstelle kostenlos aus.

Denken Sie daran: Im schlimmsten Fall hat ein Botnet die Schwachstelle seit zwei Jahren ausgenutzt, um systematisch private Schlüssel zu sammeln.

Informieren Sie ihre Benutzer

Nachdem das Update installiert und das Zertifikat erneuert wurde, sollten Sie ihre Benutzer informieren, damit diese ihre Passwörter ändern können. Wenn Sie ihre Benutzer über E-Mail informieren, fügen Sie keine Links in die E-Mail ein. Es gab bereits erste Phishing-Mails mit der Heartbleed-Schwachstelle als Köder, und Links zur Passwortänderung sind ein Anzeichen für Phishing-Mails.

Wenn Ihre Server nicht betroffen sind, wäre es hilfreich, wenn Sie ihre Benutzer auch darüber informieren. Dann wissen diese, dass ihre Daten bei Ihnen sicher sind. Ansonsten müssten sie rätseln, ob Ihre Server nicht betroffen sind, betroffen waren aber gepatcht wurden, ohne dass die Benutzer informiert wurden, oder vielleicht sogar immer noch verwundbar sind.

Denken Sie auch an die Client-Rechner und Smartphones

Wie auch im Hintergrund-Artikel „Die Heartbleed-Katastrophe: Wie funktioniert der Angriff und was kann passieren?“ beschrieben, kann die Schwachstelle auch Rechner und Smartphones betreffen. Hier gilt es, auf Update-Ankündigungen der Hersteller zu achten. Bei den Smartphones sind besonders Geräte mit Android 4.1.1 gefährdet, da dort das System selbst betroffen ist. Google hat die Smartphone-Hersteller bereits mit Hinweisen zum Beheben der Schwachstelle versorgt.

Im Grunde sind Heartbleed-Angriffe auf Clients aber ziemlich unwahrscheinlich. Die Angreifer müssten dafür ihre Opfer dazu bewegen, mit einem betroffenen Programm einen bösartigen Server aufzurufen. Da über die Heartbleed-Lücke im Vergleich zu eingeschleuster Spyware nur wenig ausgespäht werden kann, werden die Cyberkriminellen sehr wahrscheinlich bei ihrer bewährten Schadsoftware bleiben.

Prinzipiell können auch Geräte des „Internet der Dinge“, also alle Geräte mit Netzwerkanschluss, betroffen sein. Achten Sie also auf Firmware-Updates für Ihren SOHO-Router, die Telefonanlage, Multimedia-Server, etc.

Soviel zu den Hintergründen zur Heartbleed-Schwachstelle und den Maßnahmen, die Unternehmen jetzt ergreifen sollten. Im nächsten Beitrag wenden wir uns den Maßnahmen für Privatpersonen zu.

Die Heartbleed-Katastrophe Teil 1: Wie funktioniert der Angriff und was kann passieren? Teil 2: Was Unternehmen über Heartbleed wissen müssen – und wie Sie jetzt reagieren sollten Teil 3: Was Privatpersonen über Heartbleed wissen müssen – und wie sie jetzt reagieren sollten

Aufmacherbild: Heartbleed bug von shutterstock.com / Urheberrecht: wwwebmeister

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -