OpenSSL-Sicherheitslücke: Der Schlüssel zum offenen Herzen

Trend Micro warnt angesichts der sehr gefährlichen Sicherheitslücke in OpenSSL davor, auf „Perfect Forward Secrecy“ zu verzichten

Tags: #verschlüsselung #encryption #ssl #openssl #spionage #cyberkriminelle #sicherheitslücke #vulnerability #sslkeys #perfectforwardsecrecy #pfs #opensource #virtualpatching #virtualshielding #patch #heartbleed #update #trendmicro #news #nachrichten

Hallbergmoos, 9. April 2014. Die als „Heartbleed“ bezeichnete Sicherheitslücke in OpenSSL ist nicht nur deshalb gefährlich, weil sich gar nicht feststellen lässt, ob sie tatsächlich missbraucht wurde. Vielmehr hat die Mehrzahl der Privatanwender und Unternehmen auch gar nicht die Möglichkeit, das Problem mit der Version 1.0.1.g der quelloffenen SSL-Verschlüsselung, bei der diese Lücke geschlossen wurde, zu lösen. Hinzu kommt: Viele Dienste, Server oder Produkte mit OpenSSL verzichten auf „Perfect Forward Secrecy“ (PFS). Angreifer können dadurch unbemerkt Sitzungs- und Langzeitschlüssel entwenden und sämtliche Kommunikation auch im Nachhinein entschlüsseln und lesen.

Viel war in den letzten Wochen als Reaktion auf die NSA-Enthüllungen über die Notwendigkeit zu lesen und zu hören, dass sämtliche Transaktionen und Kommunikationen im Internet verschlüsselt sein sollten. Zahlreiche Hersteller und Diensteanbieter haben entsprechend reagiert. Und jetzt das: Mit der jüngst bekannt gewordenen Sicherheitslücke in OpenSSL können Angreifer völlig unbemerkt Speicherinhalte auf dem Server, wie z.B. die privaten SSL-Schlüssel, auslesen und den sinnvollen Schutzmechanismus der Verschlüsselung aushebeln. Schlimmer noch: Die möglichen Opfer haben nur sehr eingeschränkte Möglichkeiten, sich zu wehren.

Denn OpenSSL ist in vielen Produkten „fest eingebaut“. Selbst Security-Experten in Unternehmen sind daher darauf angewiesen, auf eine entsprechende Aktualisierung seitens der Hersteller zu warten. Und das gegenwärtige Problem dadurch zu umgehen, dass die Verschlüsselung temporär ausgeschaltet wird, dürfte in den wenigsten Fällen sinnvoll und machbar sein.

Während Privatanwender ohne Programmierkenntnisse weiter ausharren müssen, bleiben den Sicherheitsexperten in den Unternehmen kurzfristig zwei Optionen:

Weitere Informationen
Weitere Informationen zur Heartbleed-Sicherheitslücke sind im deutschsprachigen Trend Micro-Blog erhältlich.