Heartbleed: Bundesamt für Sicherheit in der Informationstechnik sieht noch Handlungsbedarf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht beim „Heartbleed Bug“ weiteren Handlungsbedarf. In einer eigens herausgegebenen Pressemitteilung weist man darauf hin, dass man am 8. April 2014 die BSI-Informationen mit Handlungsempfehlungen an die Unternehmen der Kritischen Infrastrukturen, an die Behörden im Bund und in den Ländern sowie an die Mitglieder der Allianz für Cyber-Sicherheit, damit die Sicherheitslücke bei betroffenen IT-Systemen mit dem veröffentlichten Update geschlossen und die Zertifikate erneuert werden.

Dennoch sind noch viele kleinere Shop-Betreiber mit der Sicherheitslücke auf ihren Servern unterwegs, wie es heißt. Und nicht nur die Webserver sollen nach Aussagen des BSI in das Visier von Hackern geraten sein. Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher lediglich auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die OpenSSL einsetzen, im Fokus.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher in einem Rundschreiben, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Betreiber von Webservices können zum Beispiel mit der Analyse-Software OpenVAS (Open Vulnerability Assessment System) prüfen, ob ihre Anwendung vom „Heartbleed Bug“ betroffen ist.

Das Bundesamt für Sicherheit in der Informationstechnik bewertet den Aufwand für einen Angreifer als sehr hoch, den privaten SSL-Schlüssel des Serverbetreibers auszulesen. Trotzdem sollten sicherheitshalber SSL-Zertifikate von Servern, die verwundbar waren, ausgetauscht werden.