Viel war in den letzten Wochen als Reaktion auf die NSA-Enthüllungen über die Notwendigkeit zu lesen und zu hören, dass sämtliche Transaktionen und Kommunikationen im Internet verschlüsselt sein sollten. Zahlreiche Hersteller und Diensteanbieter haben entsprechend reagiert. Und jetzt das: Mit der jüngst bekannt gewordenen Sicherheitslücke in OpenSSL können Angreifer völlig unbemerkt Speicherinhalte auf dem Server, wie z.B. die privaten SSL-Schlüssel, auslesen und den sinnvollen Schutzmechanismus der Verschlüsselung aushebeln. Schlimmer noch: Die möglichen Opfer haben nur sehr eingeschränkte Möglichkeiten, sich zu wehren.
Denn OpenSSL ist in vielen Produkten "fest eingebaut". Selbst Security-Experten in Unternehmen sind daher darauf angewiesen, auf eine entsprechende Aktualisierung seitens der Hersteller zu warten. Und das gegenwärtige Problem dadurch zu umgehen, dass die Verschlüsselung temporär ausgeschaltet wird, dürfte in den wenigsten Fällen sinnvoll und machbar sein.
Während Privatanwender ohne Programmierkenntnisse weiter ausharren müssen, bleiben den Sicherheitsexperten in den Unternehmen kurzfristig zwei Optionen:
- Sie sollten prüfen, ob die Dienste oder Server, die sie mit OpenSSL nutzen, auch PFS-Schutz bieten. Denn dann ist in den allermeisten Fällen sichergestellt, dass selbst beim Auslesen des Langzeitschlüssels die zurückliegenden Sitzungsschlüssel nicht entschlüsselt werden können. Die von Online-Kriminellen oder Industriespionen mitgelesene Kommunikation ist dadurch vor dem Entschlüsseln geschützt. PFS ist also unbedingt ein Muss.
- Die Unternehmen sollten Lösungen einsetzen, die Sicherheitslücken bis zur nächsten Patchmöglichkeit abschirmen können. Diese lassen sich auch kurzfristig installieren und anwenden. Zusätzlich lässt sich damit beobachten, ob versucht wird, die Schlüsseldaten zu entwenden.
Weitere Informationen
Weitere Informationen zur Heartbleed-Sicherheitslücke sind im deutschsprachigen Trend Micro-Blog erhältlich.