Heartbleed: Österreich blutet weiter

SBA Research führte eine Analyse über österreichische Webseiten und deren Behebung der Heartbleed-Schwachstelle durch. Das Resultat ist ernüchternd: 65 Prozent haben die SSL-Zertifikate nicht aktualisiert, sechs Prozent trafen falsche Maßnahmen. [...]

Das österreichische COMET-Kompetenzzentrum SBA Research hat aufgrund der weiterhin aktuellen Bedrohungslage durch die Heartbleed-Schwachstelle eine Analyse über die Behebung dieser Schwachstelle hierzulande durchgeführt. Für die Administratoren der betroffenen Server sei es nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern, so die Experten. Letzteres wurde in dieser Studie überprüft.

Als Basis für die Studie wurden jene IP-Adressen bzw. Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet haben und auf die Heartbleed-Schwachstelle anfällig waren (dies waren SBA Research zufolge über 5.600 IP-Adressen). Es wurden jene IP-Adressen aussortiert, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Dies erfolgte unter der Annahme, dass Webseiten, die für die öffentliche Benutzung gedacht sind, auch ein offiziell gültiges Zertifikat installiert haben. Dabei blieben am Ende 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

SBA Research kam dabei zum Ergebnis, dass viele der am 9. April betroffenen, aktiven österreichischen Seiten (503 IP-Adressen) die SSL-Zertifikate entweder gar nicht (328 IP-Adressen, etwa 65 Prozent) oder ohne Neugenerierung der kryptografischen Schlüssel (30 IPs, etwa 6 Prozent) aktualisiert haben. Von jenen 35 Prozent also, die das SSL-Zertifikat erneuert haben, hat in etwa jeder fünfte Administrator falsche Maßnahmen getroffen. Das bedeutet konkret, dass zwar ein neues SSL-Zertifikat erstellt wurde, jedoch das alte Schlüsselpaar wiederverwendet wurde. „Da die Heartbleed-Lücke ein Auslesen des privaten Schlüssels ermöglicht, ist es unerlässlich, auch das Schlüsselpaar neu zu generieren“, so SBA Research in einer Aussendung.

Insgesamt sind also noch mehr als zwei Drittel der Server von den Auswirkungen von Heartbleed betroffen, obwohl bei vielen davon die betroffene Software aktualisiert wurde. Falls bei diesen Seiten durch Ausnutzen der Heartbleed-Schwachstelle private Schlüsselinformationen vom Server ausgelesen wurden, kann trotz Erneuern des Zertifikates nach wie vor verschlüsselter SSL-Datenverkehr durch Man-in-the-Middle-Angriffe entschlüsselt und verändert – und damit unter Umständen sensible Informationen wie Passwörter – ausgelesen werden.

SBA Research empfiehlt allen Administratoren, deren Seiten von der Heartbleed-Schwachstelle betroffen waren, die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials zu überprüfen.

Detaillierte Information zur Heartbleed-Schwachstelle stellt SBA Research in einem Whitepaper (PDF-Download) zur Verfügung. (pi/rnf)


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*