9. April 2014 Rudolf Felser/pi

Sicherheits-GAU in OpenSSL

Die Sicherheitslücke ist in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist. [...]

OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet. Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Nun ist eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek aufgedeckt worden, über die Angreifer die Schlüssel auslesen, die Verschlüsselung aushebeln und die vermeintlich gesicherte Kommunikation kompromittieren können.

„Für OpenSSL-Anwender ist damit der Super-GAU eingetreten. Passwörter, Daten und ganze Kommunikationsvorgänge drohen in die Hände unbefugter Dritter zu fallen. Zumal die Sicherheitslücke einfach auszunutzen ist. Wir raten daher unbedingt zu einem Upgrade auf die nächsthöhere Version“, erklärt Christian Heutger, Geschäftsführer der PSW GROUP. Der deutsche SSL-Pionier bietet seinen Kunden angesichts dessen den schnellen Umtausch betroffener OpenSSL-basierender Zertifikate an.

Die jüngste Sicherheitslücke befindet sich in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist. Da der Speicherzugriff nicht überprüft wird, ist es Angreifern möglich, eine Datenmenge von bis zu 64 Kilobyte von der Gegenseite auszulesen. Betroffen sind alle Versionen von OpenSSL 1.0.1 mit Ausnahme der neusten Version OpenSSL 1.0.1g, die den ursächlichen Programmierfehler nicht mehr enthält.

Für den PSW-Geschäftsführer und Verschlüsselungsexperten Christian Heutger ist dieser Vorfall ein weiterer Beleg für die Notwendigkeit des Einsatzes von Perfect Forward Secrecy: Die SSL-Zusatzfunktion verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des privaten Schlüssels kompromittiert wird. „Im konkreten Fall wären die per OpenSSL verschlüsselten Daten demnach trotz der Sicherheitslücke weiterhin sicher. Sie könnten von Angreifern, die die Schwachstelle ausnutzen, um in den Besitz des Private Key zu kommen, nicht entschlüsselt werden“, erläutert Christian Heutger. (pi)


Mehr Artikel

News

Mehr als nur ein Compliance-Kriterium: Cybersicherheit ist eine Angelegenheit der Unternehmenskultur

5. Dezember 2025 Nicholas Jackson *

Ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz. […]

Michael Maier, Director Austria iteratec (c) iteratec
Kommentar

KI-Transformation in Unternehmen – Eine Revolution in fünf Schritten 

4. Dezember 2025 Michael Maier*

Wie weit wird die Evolution der Künstlichen Intelligenz gehen und wie wird sie sich auf Wirtschaft und Gesellschaft als Ganzes auswirken? Was für Privatpersonen interessante Fragen sind, sind für Unternehmer existenzielle Themen, schließlich müssen diese wirtschaftlich gegenüber Konkurrenten bestehen, von denen viele bereits an einer effektiven Nutzung von KI arbeiten. […]

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*