Die als "Heartbleed" bekannt gewordene Sicherheitslücke in der Verschlüsselungs-Software OpenSSL findet sich auch in Produkten der beiden großen Netzwerkausrüster Cisco und Juniper Networks. [...]
Betroffen sind unter anderem Router und Switches, bei denen die Behebung des Problems sich langwierig gestalten könnte, berichtet das Wall Street Journal (WSJ). Demnach hat Juniper auch schon Patches für einige Versionen seiner VPN-Software (Virtual Private Network) veröffentlicht. Denn auch die Lösung, die externen Mitarbeitern sicheren Zugriff auf interne Unternehmsnetzwerke bieten soll, war von Heartbleed betroffen.
„Heartbleed entwickelt sich immer mehr zur größten Sicherheitslücke, die jemals gefunden wurde. Es steht zu befürchten, dass die Schwachstelle in OpenSSL weitere Kreise zieht, als bislang vermutet“, heißt es seitens der Sicherheitsspezialisten ESET auf Anfrage der Nachrichtenagentur pressetext. Generell müsse man bedenken, dass OpenSSL nicht nur bei Webservern, sondern auch bei Embedded-Geräten zum Einsatz kommt, warnt ESET Senior Research Fellow David Harley im Unternehmensblog.
Während für Endanwender vor allem relevant ist, welche großen Websiten von Heartbleed betroffen waren, werden gerade für Unternehmen auch andere betroffene Systeme eine wichtige und letztlich vielleicht sogar größere Rolle spielen. Ein Beispiel dafür sind multimediale IP-Telephone. In diese Kategorie fällt ein größerer Teil jener zu Readktionsschluss 16 Cisco-Produkte, die laut Security Advisory des Netzwerkausrüsters von Heartbleed betroffen sind. Erfreulich ist dagegen, dass Cisco bei vielen VPN-Routern bereits ausschließen konnte, dass diese durch die Lücke angreifbar wären.
Wie Juniper Networks gegenüber dem WSJ betont, dürfte das Schließen der Lücke bei Netzwerkausrüstung nicht so einfach sein. „Das klingt nicht nach etwas, das wie einen Schalter umzulegen ist“, so ein Sprecher. Er könne noch nicht sagen, wie lange es dauern wird, das Problem in den Griff zu bekommen. Bei Software-Lösungen reicht eher ein einfacher Patch. Dass auch VPN-Software von Heartbleed betroffen war, wirft aber die Frage auf, inwieweit die Lücke Angreifern womöglich den Zugriff auf kritische interne Daten von Unternehmen eröffnet hat.
Heartbleed hat seit dem Bekanntwerden der Lücke Anfang dieser Woche hohe Wellen geschlagen. Denn der Fehler in OpenSLL bietet Angreifern eine Chance, Daten von Passwörtern bis hin zu den privaten Schlüsseln von Websites zu stehlen. Der anerkannte IT-Security-Guru Bruce Schneier hat die Lücke in seinem Blog daher als katastrophal bezeichnet. „Auf einer Skala von eins bis zehn ist das eine Elf“, so Schneier. Sein Blog war ebenso betroffen wie hundertausende andere Seiten, darunter große Webangebote wie Facebook, Google Mail oder Tumblr.
Da betroffene große Anbieter schnell ihre Webseiten entsprechend gepatcht haben, raten Experten Usern inzwischen, möglichst rasch ihre Passwörter für betroffene Dienste zu ändern. Für Unternehmen gilt es indes nicht nur zu klären, ob die eigene Webseite betroffen ist und nötigenfalls eine OpenSSL-Aktualisierung vorzunehmen. Sie müssen auch klären, ob sie beispielsweise angreifbare Embedded-Systeme nutzen. Gerade hier könnte es noch richtig teuer werden. „Ein Upgrade-Pfad, der den Müll, einen Besuch bei Best Buy und eine Kreditkarte umfasst, wird keinem Spaß machen“, warnt Schneier. (pte)
Be the first to comment