English

Die Gefahr stoppen: So können Unternehmen dem Heartbleed-Bug entgegenwirken

von VPNHaus | 17.04.2014 |Encryption, Industry Commentary, SSL, VPN

Mittlerweile hat sich die Nachricht von der kürzlich entdeckten Sicherheitslücke, dem sogenannten Heartbleed-Bug, herumgesprochen. Dieser Bug ermöglicht Cyber-Kriminellen die Ausnutzung eines Fehlers in der Technologie zur Verschlüsselung sensibler Daten. Dadurch können sie jegliche Kommunikation einschließlich E-Mails und Online-Kreditkartenzahlungen, die über eine „HTTPS“-Verbindung gesendet wird, so leicht lesen wie diesen Satz. Aber das ist noch nicht alles: Sobald sie diese sensiblen Daten – private Daten und/oder Unternehmensdaten – bekommen haben, können die Hacker die gestohlenen Online-Personae nutzen, um sich Zugang zu anderen passwortgeschützten Bereichen wie Online Banking-Konten, Social Media-Kanälen und Unternehmensnetzwerken verschaffen. Sicherheitsexperte Bruce Schneier erklärte, dass „auf einer [Gefahren-] Skala von 1 bis 10 dieser Wert [für den Heartbleed-Bug] bei 11 liegt.“ Verständlicherweise wird diesem Thema ein großes Maß an Aufmerksamkeit seitens der Medien gewidmet. Bevor Sie jetzt in Panik verfallen, lesen Sie weiter. Wir erklären Ihnen, inwiefern Ihr Unternehmen oder auch Sie persönlich von der Sicherheitslücke betroffen sein könnten.

Wie war das noch? Was ist der Heartbleed-Bug?

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind häufig verwendete Protokolle zur Absicherung eines breiten Spektrums an Internetkommunikation, angefangen vom Instant-Messaging bis hin zu Remote Access. In diesem Zusammenhang stellt Heartbleed eine Sicherheitsschwachstelle dar, welche speziell auf die Open-Source-Implementierung dieser Protokolle, kurz OpenSSL genannt, abzielt. Den Namen „Heartbleed-Bug“ erhält die Sicherheitsschwachstelle aufgrund der Art ihres Angriffs. Es handelt sich nämlich um einen Huckepacktransport auf einem OpenSSL-Feature, bekannt als Heartbeat. Durch Ausnutzung dieser Schwachstelle können Cyber-Kriminelle die kryptographischen SSL-Schlüssel der Nutzer möglicherweise knacken. Dadurch wird die eigentlich verschlüsselte Kommunikation als klarer Text sichtbar.

Wo liegt das Problem?

Laut Neil Rubenking vom PC-Magazin SecurityWatch, einer Webseite für die Berichterstattung über den Heartbleed-Bug, beträgt der Marktanteil der zwei größten Open-Source-Webserver, welche OpenSSL verwenden, zusammen mehr als 66 Prozent. Und Douglas Crawford von Best VPN sagt: „[Heartbleed] betrifft vor allem Webseiten, welche über den Apache-Webserver laufen. Allerdings ist dies kein großer Trost, da dies über 50 Prozent aller Webseiten im Internet sind.“ Die Bedrohung für den Durchschnitts-User ist offensichtlich. Cyber-Kriminelle können durch Ausnutzung dieses Verschlüsselungsfehlers sowohl Kreditkartendaten als auch andere sensible persönliche Daten ganz leicht abfangen. Jedoch sind auch Unternehmen gefährdet, ganz besonders im Hinblick auf die große Anzahl an Unternehmen, welche BYOD mittels SSL VPNs realisiert haben.

Wie kann das Problem angegangen werden?

Wir sprechen häufig darüber, dass die Mobilfunksicherheitsbranche im Fall der Gefahrenerkennung und -minderung eher lediglich reagiert anstatt proaktiv zu handeln. Allerdings ist es eine eigenartige Ironie des Schicksals, dass ältere SSL-Versionen immun gegen den Heartbleed-Bug sind. Das heißt aber nicht, dass man nichts tun sollte. Vielmehr ist die Verwendung eines temporären Schlüssels von Vorteil. Dabei handelt es sich um einen kryptographischen Schlüssel, welcher jedes Mal neu generiert wird, wenn ein Prozess den Einsatz eines Schlüssels erfordert. Auf diese Weise soll ein Unternehmen den Bug besser abwehren können. Steven J. Vaughn-Nichols von ZDNet trifft den Nagel auf den Kopf: Nutzen Sie ein VPN, welches das kompromittierte OpenSSL verwendet, sollten Sie das alte digitale SSL-Zertifikat Ihrer Zertifizierungsstelle (Certificate Authority (CA)) sperren und ein neues anfordern. Tun Sie das nicht, „ist es gleichsam so, als würden Sie Ihr altes Schloss durch ein neues ersetzen, welches mit demselben alten Schlüssel funktioniert.“

Nachdem das Zertifikat erneuert wurde, sollten Sie als nächstes Ihren VPN-Provider kontaktieren, um herauszufinden, wie mit der Situation umgegangen wird. Kann Ihr VPN zentral verwaltet werden, können Netzwerkadministratoren die gefährdeten Zertifikate automatisch sperren und durch neue Zertifikate für sämtliche Nutzer ersetzen. Ein VPN mit zentralem Management, welches mit anderen Netzwerk- und Sicherheitstechnologien zusammenarbeiten kann, stellt eine äußerst wichtige Komponente innerhalb einer umfangreichen Defense-in-Depth-Strategie dar. Wird ein Nutzer angegriffen, können Technologien wie dynamische Firewalls, solide Virenscanner-Lösungen, Anti-Malware-Software usw. zusammen arbeiten, um weitere Risiken zu mindern und die Sicherheit anderer Nutzer und des Netzwerks aufrecht zu erhalten. Ein solches System ist sehr effizient. Leider erkennen Unternehmen trotzdem oft erst dann wie wichtig ein verbesserter Netzwerkschutz ist, wenn ein größerer Vorfall, wie beispielsweise der Heartbleed-Bug, bekannt wird.

Sollte Ihr Provider sich nicht schnellstens um ein Patch für das Loch in ihrer OpenSSL-Anwendung kümmern und/oder Schritte zur Implementierung eines Defense-in-Depth-Konzepts einleiten, können Sie zu Recht in Panik geraten. Unter diesen Umständen ist es zwingend erforderlich, dass Sie Ihre Kunden über die Bedrohung informieren. Sie sollten auch erläutern, was Sie tun, um dieser Bedrohung entgegenzuwirken. Darüber hinaus sollten Sie ihnen erläutern, wie sie sich selbst proaktiv schützen können. Wenn Sie mehr erfahren möchten, senden Sie eine E-Mail an info@ncp-e.com oder kontaktieren Sie NCP engineering über LinkedIn.

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK