Heartbleed-Bug: Katastrophe für die Geschäftswelt

Noch immer grassiert Heartbleed in Österreich. Auch vier Monate nach seiner Entdeckung ist das Ausmaß der Sicherheitslücke kaum absehbar. Für Wolfgang Honold von der DSAG ist das eine Katastrophe. [...]

Heartbleed entpuppt sich als Achillesferse moderner, scheinbar sicherer Webserver. Es handelt sich um einen kleinen Fehler in der Entwicklung, der in einer Open-Source-Lösung jedoch von jedem gefunden werden kann, der danach sucht. Die Sicherheitslücke Heartbleed zeigt, wie anfällig unsere Daten sind. Potenziell hoch sensible Informationen, die unter normalen Umständen verschlüsselt oder gar nicht übermittelt werden würden, lassen sich einfach auslesen. Betroffen sind E-Mail-, Chat-, Datenbank-Server, VPN-Systeme, Firewalls und Gateways sowie Router – also Kommunikationsmittel, die Millionen Menschen täglich nutzen. Passwörter, Kontodaten oder auch Sitzungsinformationen wurden gestohlen.

„Das ist eine Katastrophe für Unternehmen, die täglich OpenSSL-Zertifikate nutzen“, so Wolfgang Honold, Vorstand der SAP-Anwender in Österreich. Er sieht tausende Server hierzulande noch immer gefährdet. Laut SBA Research sind ca. 65 Prozent der betroffenen IP-Adressen noch nicht oder nur unzureichend aktualisiert. Dabei lässt sich die Lücke durch die korrekte Neuausstellung des SSL-Zertifikats und die Neugenerierung des Schlüsselmaterials schnell beheben. Es stellt sich die Frage, warum in vielen Fällen die Unternehmens-IT nicht ausreichend geschützt ist und sensible Daten über Monate ausgespäht werden können. „Müssen wir die Schuld für einen Bug wie Heartbleed als Nutzer von OpenSSL nicht zuerst bei uns selbst suchen?“, fragt Honold. „Open-Source ist nicht anfälliger für Fehler als geschlossene Entwicklungen. Wir verlassen uns jedoch darauf, dass andere unsere Hausaufgaben machen.“

„EINE KATASTROPHE“
Herr Honold, noch immer grassiert Heartbleed in Österreich. Was bedeutet das für die Unternehmen?
Wolfgang Honold:
Für Unternehmen, die täglich OpenSSL-Zertifikate nutzen, ist das eine Katastrophe. Jeder Webserver kann betroffen sein und somit jeder Kontakt mit Geschäftspartnern und Kunden zur potenziellen Gefahr werden. Kein sonderlich schöner Ausblick.

Nein, wirklich nicht. Was ist also zu tun?
Wenn jedes Unternehmen auf die Behebung des Bugs durch andere wartet, ist niemandem geholfen, selbst wenn es sich hier um Open-Source handelt. Die IT-Verantwortlichen in den Unternehmen müssen selbst aktiv werden und Fehler entdecken, bevor diese zum Heartbleed werden. Der beste Schutz sind saubere Programmierungen und der verantwortungsvolle Umgang mit den eigenen Daten.

Das sagt sich jetzt so leicht. Hinterher ist man immer schlauer.
Wer schlau ist, kümmert sich vorher. Das bedeutet, wir stellen funktionierende Systeme immer wieder auf den Prüfstand. Denn nicht nur im Fußball gilt „Angriff ist die beste Verteidigung“. Nur wer immer wieder einen Bug simuliert, kann frühzeitig die Lücke schließen.

Sie sprechen ja für die SAP-Anwender in Österreich. Hat Heartbleed etwas mit SAP zu tun?
Nein, nicht immer ist SAP an allem schuld (lacht). Sie müssen sich das so vorstellen. Sie bauen sich ein Haus, also Ihre IT-Infrastruktur mit SAP. Das Gebäude statten Sie mit allem aus, was Einbruchsicherheit verspricht, vergessen aber vor dem Urlaub die Balkontür zu schließen. Nur, weil Sie sich beim letzten Rundgang vor der Abreise auf den anderen verlassen haben.

Österreichs Unternehmen sollen sich also an die eigene Nase fassen. Warum sagen Sie das als DSAG?
Wir verstehen uns als Schaltstelle zwischen Unternehmen und SAP, indem wir Geschäftsprobleme thematisieren und, wenn möglich, Lösungen im SAP-Standard initiieren. Im Fall von Heartbleed überlegen wir natürlich auch, ob es einen Schutzmechanismus über den Standard hinweg geben könnte. Das lässt sich aber nicht von heute auf morgen realisieren. Deshalb machen wir darauf aufmerksam, dass jedes Unternehmen zuerst seine Hausaufgaben erledigen muss und dann nach Lösungen anderer Ausschau halten kann.


Wolfgang Honold:

Wolfgang Honold ist Mitglied im Vorstand der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. und verantwortlich für die SAP-Anwenderfirmen in Österreich. Als CIO der Getzner-Gruppe in Bludenz kennt er die tagtäglichen Belange sowohl von SAP-Usern als auch der SAP-einsetzenden Unternehmen. Dazu zeichnet Wolfgang Honold für Interregio-Kontakte zwischen Deutschland, Österreich und der Schweiz verantwortlich.


Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

News

Von Views zu Likes: Tipps, um die Zuschauer-Interaktion auf YouTube zu steigern

Bei YouTube ist die Zuschauerinteraktion ein entscheidendes Element für den Erfolg eines Kanals. Besonders im Jahr 2024 wird deutlich, dass Likes, Kommentare und Shares nicht nur für die Sichtbarkeit wichtig sind, sondern auch eine Schlüsselrolle im Algorithmus von YouTube spielen. Eine hohe Zuschauerbindung ist für Kanäle essenziell, um deren Inhalte optimal zu promoten. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*