13. August 2014 pi/Rudolf Felser

Heartbleed-Bug: Katastrophe für die Geschäftswelt

Noch immer grassiert Heartbleed in Österreich. Auch vier Monate nach seiner Entdeckung ist das Ausmaß der Sicherheitslücke kaum absehbar. Für Wolfgang Honold von der DSAG ist das eine Katastrophe. [...]

Heartbleed entpuppt sich als Achillesferse moderner, scheinbar sicherer Webserver. Es handelt sich um einen kleinen Fehler in der Entwicklung, der in einer Open-Source-Lösung jedoch von jedem gefunden werden kann, der danach sucht. Die Sicherheitslücke Heartbleed zeigt, wie anfällig unsere Daten sind. Potenziell hoch sensible Informationen, die unter normalen Umständen verschlüsselt oder gar nicht übermittelt werden würden, lassen sich einfach auslesen. Betroffen sind E-Mail-, Chat-, Datenbank-Server, VPN-Systeme, Firewalls und Gateways sowie Router – also Kommunikationsmittel, die Millionen Menschen täglich nutzen. Passwörter, Kontodaten oder auch Sitzungsinformationen wurden gestohlen.

„Das ist eine Katastrophe für Unternehmen, die täglich OpenSSL-Zertifikate nutzen“, so Wolfgang Honold, Vorstand der SAP-Anwender in Österreich. Er sieht tausende Server hierzulande noch immer gefährdet. Laut SBA Research sind ca. 65 Prozent der betroffenen IP-Adressen noch nicht oder nur unzureichend aktualisiert. Dabei lässt sich die Lücke durch die korrekte Neuausstellung des SSL-Zertifikats und die Neugenerierung des Schlüsselmaterials schnell beheben. Es stellt sich die Frage, warum in vielen Fällen die Unternehmens-IT nicht ausreichend geschützt ist und sensible Daten über Monate ausgespäht werden können. „Müssen wir die Schuld für einen Bug wie Heartbleed als Nutzer von OpenSSL nicht zuerst bei uns selbst suchen?“, fragt Honold. „Open-Source ist nicht anfälliger für Fehler als geschlossene Entwicklungen. Wir verlassen uns jedoch darauf, dass andere unsere Hausaufgaben machen.“

„EINE KATASTROPHE“
Herr Honold, noch immer grassiert Heartbleed in Österreich. Was bedeutet das für die Unternehmen?
Wolfgang Honold: Für Unternehmen, die täglich OpenSSL-Zertifikate nutzen, ist das eine Katastrophe. Jeder Webserver kann betroffen sein und somit jeder Kontakt mit Geschäftspartnern und Kunden zur potenziellen Gefahr werden. Kein sonderlich schöner Ausblick.

Nein, wirklich nicht. Was ist also zu tun?
Wenn jedes Unternehmen auf die Behebung des Bugs durch andere wartet, ist niemandem geholfen, selbst wenn es sich hier um Open-Source handelt. Die IT-Verantwortlichen in den Unternehmen müssen selbst aktiv werden und Fehler entdecken, bevor diese zum Heartbleed werden. Der beste Schutz sind saubere Programmierungen und der verantwortungsvolle Umgang mit den eigenen Daten.

Das sagt sich jetzt so leicht. Hinterher ist man immer schlauer.
Wer schlau ist, kümmert sich vorher. Das bedeutet, wir stellen funktionierende Systeme immer wieder auf den Prüfstand. Denn nicht nur im Fußball gilt „Angriff ist die beste Verteidigung“. Nur wer immer wieder einen Bug simuliert, kann frühzeitig die Lücke schließen.

Sie sprechen ja für die SAP-Anwender in Österreich. Hat Heartbleed etwas mit SAP zu tun?
Nein, nicht immer ist SAP an allem schuld (lacht). Sie müssen sich das so vorstellen. Sie bauen sich ein Haus, also Ihre IT-Infrastruktur mit SAP. Das Gebäude statten Sie mit allem aus, was Einbruchsicherheit verspricht, vergessen aber vor dem Urlaub die Balkontür zu schließen. Nur, weil Sie sich beim letzten Rundgang vor der Abreise auf den anderen verlassen haben.

Österreichs Unternehmen sollen sich also an die eigene Nase fassen. Warum sagen Sie das als DSAG?
Wir verstehen uns als Schaltstelle zwischen Unternehmen und SAP, indem wir Geschäftsprobleme thematisieren und, wenn möglich, Lösungen im SAP-Standard initiieren. Im Fall von Heartbleed überlegen wir natürlich auch, ob es einen Schutzmechanismus über den Standard hinweg geben könnte. Das lässt sich aber nicht von heute auf morgen realisieren. Deshalb machen wir darauf aufmerksam, dass jedes Unternehmen zuerst seine Hausaufgaben erledigen muss und dann nach Lösungen anderer Ausschau halten kann.


Wolfgang Honold:
Wolfgang Honold ist Mitglied im Vorstand der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. und verantwortlich für die SAP-Anwenderfirmen in Österreich. Als CIO der Getzner-Gruppe in Bludenz kennt er die tagtäglichen Belange sowohl von SAP-Usern als auch der SAP-einsetzenden Unternehmen. Dazu zeichnet Wolfgang Honold für Interregio-Kontakte zwischen Deutschland, Österreich und der Schweiz verantwortlich.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*