Heartbleed: Österreich blutet weiter Heartbleed: Österreich blutet weiter - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.05.2014 Rudolf Felser

Heartbleed: Österreich blutet weiter

SBA Research führte eine Analyse über österreichische Webseiten und deren Behebung der Heartbleed-Schwachstelle durch. Das Resultat ist ernüchternd: 65 Prozent haben die SSL-Zertifikate nicht aktualisiert, sechs Prozent trafen falsche Maßnahmen.

Der Heartbleed-Bug ist in Österreich noch nicht völlig ausgemerzt worden.

Der Heartbleed-Bug ist in Österreich noch nicht völlig ausgemerzt worden.

© Public Domain

Das österreichische COMET-Kompetenzzentrum SBA Research hat aufgrund der weiterhin aktuellen Bedrohungslage durch die Heartbleed-Schwachstelle eine Analyse über die Behebung dieser Schwachstelle hierzulande durchgeführt. Für die Administratoren der betroffenen Server sei es nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern, so die Experten. Letzteres wurde in dieser Studie überprüft.

Als Basis für die Studie wurden jene IP-Adressen bzw. Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet haben und auf die Heartbleed-Schwachstelle anfällig waren (dies waren SBA Research zufolge über 5.600 IP-Adressen). Es wurden jene IP-Adressen aussortiert, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Dies erfolgte unter der Annahme, dass Webseiten, die für die öffentliche Benutzung gedacht sind, auch ein offiziell gültiges Zertifikat installiert haben. Dabei blieben am Ende 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

SBA Research kam dabei zum Ergebnis, dass viele der am 9. April betroffenen, aktiven österreichischen Seiten (503 IP-Adressen) die SSL-Zertifikate entweder gar nicht (328 IP-Adressen, etwa 65 Prozent) oder ohne Neugenerierung der kryptografischen Schlüssel (30 IPs, etwa 6 Prozent) aktualisiert haben. Von jenen 35 Prozent also, die das SSL-Zertifikat erneuert haben, hat in etwa jeder fünfte Administrator falsche Maßnahmen getroffen. Das bedeutet konkret, dass zwar ein neues SSL-Zertifikat erstellt wurde, jedoch das alte Schlüsselpaar wiederverwendet wurde. "Da die Heartbleed-Lücke ein Auslesen des privaten Schlüssels ermöglicht, ist es unerlässlich, auch das Schlüsselpaar neu zu generieren", so SBA Research in einer Aussendung.

Insgesamt sind also noch mehr als zwei Drittel der Server von den Auswirkungen von Heartbleed betroffen, obwohl bei vielen davon die betroffene Software aktualisiert wurde. Falls bei diesen Seiten durch Ausnutzen der Heartbleed-Schwachstelle private Schlüsselinformationen vom Server ausgelesen wurden, kann trotz Erneuern des Zertifikates nach wie vor verschlüsselter SSL-Datenverkehr durch Man-in-the-Middle-Angriffe entschlüsselt und verändert – und damit unter Umständen sensible Informationen wie Passwörter – ausgelesen werden.

SBA Research empfiehlt allen Administratoren, deren Seiten von der Heartbleed-Schwachstelle betroffen waren, die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials zu überprüfen.

Detaillierte Information zur Heartbleed-Schwachstelle stellt SBA Research in einem Whitepaper (PDF-Download) zur Verfügung. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 2 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: