symbolfoto-kg-sicherheit

eco Verband zu „Heartbleed“: In 7 Schritten Sicherheitslücke schließen

Die Initiative-S, der kostenlose Webseiten-Check von eco – Verband der deutschen Internetwirtschaft e. V., hat zahlreiche Internetseiten mit der gravierenden Sicherheitslücke in der Kryptobibliothek OpenSSL entdeckt und wird die Betreiber der betroffenen Webseiten in den nächsten Tagen informieren.

Die auf den Namen „Heartbleed“ getaufte Sicherheitslücke erlaubt es Angreifern den Arbeitsspeicher von Servern auszulesen: So können Klartext-Zugangsdaten, Sitzungs-IDs und im schlimmsten Fall sogar die privaten Schlüssel, die die Server zur Verschlüsselung des SSL-Traffic benutzen, erkannt werden.

Aufgrund der Tatsache, dass der Quellcode von OpenSSL frei zugänglich ist und die schadbehaftete Implementierung seit zwei Jahren auf einer Vielzahl von Servern zum Einsatz kommt, kann nicht ausgeschlossen werden, dass Cyberkriminelle diese Lücke aktiv ausnutzen.

"Der aktuelle Vorfall zeigt einmal mehr, wie wichtig es ist seinen Internetauftritt stetig zu überwachen und das Thema Sicherheit nach dem aufwendigen Erstellen eines Webaufttritts nicht aus den Augen zu verlieren.", so Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services und Sicherheitsexperte im eco.

Um die Sicherheitslücke zu schließen, empfiehlt eco Webseitenbetreibern folgende Vorgehensweise:

  1. Führen Sie ein Update auf die aktuellste Version von OpenSSL (1.0.1g) durch.
  2. Generieren Sie einen neuen “Private Key” und erstellen Sie daraufhin einen neuen Certificate Signing Request (CSR).
  3. Stellen Sie über Ihren SSL-Anbieter ein neues SSL-Zertifikat aus (tun Sie dies erst nachdem Sie auf die neueste OpenSSL version upgedated haben).
  4. Installieren Sie das neue SSL Zertifikat.
  5. Nachdem Sie das neue SSL Zertifikat installiert haben, revoken (als ungültig Kennzeichnen) Sie alle SSL-Zertifikate die Sie ersetzt haben.
  6. Überprüfen Sie im Anschluss, ob die Sicherheitslücke geschlossen ist. Dies können Sie zum Beispiel unter http://filippo.io/Heartbleed/.
  7. Da nicht ausgeschlossen werden kann, dass die Zugangsdaten Ihrer Endnutzer durch die Sicherheitslücke bereits ausgespäht wurden, sollten Sie in Erwägung ziehen Ihre Nutzer zum Passwort-Wechsel aufzufordern, bzw. sämtliche Passwörter automatisiert zurückzusetzen.

Schaffrin: "Wir sehen: Die Gefahren aus dem Netz werden immer komplexer und Webseiten-Betreiber brauchen Hilfsangebote um all diese Bedrohungen auf dem Radar zu haben."

In diesem Zusammenhang weist der eco Verband auch auf zwei seiner Services hin: www.botfrei.de und www.initiative-s.de. Unter botfrei.de können sich Firmen über Botnetze informieren und erfahren, wie sie sich dagegen schützen können. Ziel der Initiative-S ist es, die Webseiten von Unternehmen auf Schadsoftware zu untersuchen, bei deren Bereinigung zu helfen und nachhaltig gegen neue Angriffe zu schützen.