Heartbleed: Bundesamt für Sicherheit in der Informationstechnik sieht noch Handlungsbedarf
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht beim „Heartbleed Bug“ weiteren Handlungsbedarf. In einer eigens herausgegebenen Pressemitteilung weist man darauf hin, dass man am 8. April 2014 die BSI-Informationen mit Handlungsempfehlungen an die Unternehmen der Kritischen Infrastrukturen, an die Behörden im Bund und in den Ländern sowie an die Mitglieder der Allianz für Cyber-Sicherheit, damit die Sicherheitslücke bei betroffenen IT-Systemen mit dem veröffentlichten Update geschlossen und die Zertifikate erneuert werden.
Dennoch sind noch viele kleinere Shop-Betreiber mit der Sicherheitslücke auf ihren Servern unterwegs, wie es heißt. Und nicht nur die Webserver sollen nach Aussagen des BSI in das Visier von Hackern geraten sein. Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher lediglich auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die OpenSSL einsetzen, im Fokus.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt daher in einem Rundschreiben, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Betreiber von Webservices können zum Beispiel mit der Analyse-Software OpenVAS (Open Vulnerability Assessment System) prüfen, ob ihre Anwendung vom „Heartbleed Bug“ betroffen ist.
Das Bundesamt für Sicherheit in der Informationstechnik bewertet den Aufwand für einen Angreifer als sehr hoch, den privaten SSL-Schlüssel des Serverbetreibers auszulesen. Trotzdem sollten sicherheitshalber SSL-Zertifikate von Servern, die verwundbar waren, ausgetauscht werden.
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.