Infos zu "Heartbleed"

Um etwaiger Verunsicherung bezüglich der Heartbleed-Sicherheitslücke vorzubeugen, finden Sie hier eine kurze Zusammenfassung der Geschehnisse und was Sie als LUCOM-Kunde möglicherweise tun müssen:

 

Was ist OpenSSL?

OpenSSL ist eine Software zur Verschlüsselung von Verbindungen. Da der Quellcode offen verfügbar ist ("Open-Source") und eine Vielzahl von Sicherheitsstandards unterstützt werden, wird OpenSSL sehr häufig für die Verschlüsselung von Verbindungen eingesetzt. Es ist in viele Produkte integriert: Computer und Internetserver nutzen OpenSSL ebenso wie moderne Fernseher, DSL-Router und weitere Embedded-Geräte - auch in der Industrie.

 

Was ist "Heartbleed"?

Die Sicherheitslücke "Heartbleed" wurde am 7. April 2014 während eines Sicherheitschecks gefunden. Durch die Lücke kann ein Angreifer Teile des Arbeitsspeichers von Geräten auslesen, die eine - an sich sichere - OpenSSL-Verbindung einsetzen. So kann sich ein Hacker Zugang zu Passwörtern, geheimen Schlüsseln oder Zertifikaten verschaffen. Da dieses Problem weitreichende Folgen für einen Großteil der verschlüsselten Verbindungen im Internet verursacht, wurde das Thema auch vielfach in den Medien aufgegriffen.

 

Was muss ich als LUCOM-Kunde tun?

Auch in LUCOM VPN-Routern und im VPN-Serviceportal Digicluster wird OpenSSL zur Verschlüsselung eingesetzt. Nur wenige Stunden nach Bekanntwerden des Problems in den Medien haben wir unsere Produkte auf die Schwachstelle überprüft und sie - bei Vorhandensein - sofort über ein Update geschlossen. Sowohl die VPN-Router als auch die Server für VPN-Mietzugänge waren von diesem Problem nicht betroffen, Unbefugte konnten keine Passwörter oder Zertifikate abgreifen. Ihre Passwörter und Zertifikate sind also sicher, Sie müssen sie nicht ändern! Bei individuellen Projekten wurden die betroffenen Kunden informiert und die Software gegebenenfalls auf den neuesten Stand gebracht. Sollten Sie den OpenVPN-Client auf Ihrem PC installiert haben, so empfehlen wir, diesen zu aktualisieren. Die dortige Heartbleed-Lücke lässt sich jedoch nur durch den verbundenen OpenVPN-Server ausnutzen, welcher i.d.R. der Digicluster sein sollte. Das Ausnutzen der Lücke durch Angreifer ist daher nahezu ausgeschlossen. Wenn Sie sich nicht sicher sind, ob Ihr Produkt betroffen sein könnte, kontaktieren Sie uns.

 

Was kann man für die Zukunft aus diesem Vorfall lernen?

Open-Source-Software wie OpenSSL hat den entscheidenden Vorteil, dass der Progammcode von Jedermann eingesehen und kontrolliert werden kann. Sicherheitslücken kann damit zwar vorgebeugt , aber sie können nicht gänzlich verhindert werden. Gerade hinsichtlich der NSA-Affäre hat Open-Source den entscheidenden Vorteil, dass der beabsichtigte Einbau von Hintertüren prinzipbedingt nahezu ausgeschlossen sind.

 

Haben Sie weitere Fragen? Dann kontaktieren uns. Rufen Sie uns an unter 0911/ 957 606-00 oder schreiben Sie an info@lucom.de.

 

Weitere Informationen zu Heartbleed