Artikelformat

Was ist eigentlich … Heartbleed?

heartbleed kerio

Bestimmt haben Sie in den letzten Tagen viel vom sogenannten Heartbleed Bug gehört. Wahrscheinlich haben Sie so viel davon gehört, dass die Verwirrung eher noch größer wurde. Darum möchte ich ganz kurz und verständlich zusammenfassen, was dieses Problem für den Betreiber eines kleinen Firmennetzwerks bedeutet.

Was ist OpenSSL?

Mittlerweile benutzen die meisten Webseiten eine Verschlüsselungstechnik, um die Daten mit Ihrem Computer auszutauschen. Die Programme, mit denen Sie Internetseiten besuchen, ( „Browser“ oder „Webbrowser“ genannt, z.B. Safari, Firefox oder Chrome ) zeigen Ihnen einem Schlosssymbol vor oder hinter der Internetadresse ( auch „URL“ genannt ) an, ob die besuchte Webseite mit Verschlüsselung arbeitet. Das sollte zum Beispiel bei jeder Bankwebseite der Fall sein.   

Ein Großteil der Internetseiten benutzt dafür eine Verschlüsselungstechnik mit dem Namen OpenSSL. Der Begriff „Open“ bedeutet, dass diese Software als Opensource entwickelt und verbreitet wurde. SSL steht für „Secure Sockets Layer“, also eine „Sicherheitsebene“. Ähnlich wie bei Firefox oder Wikipedia ist OpenSSL ein nichtkommerzielles Produkt, an dem viele Freiwillige mitarbeiten. OpenSSL ist somit auch kostenlos und unabhängig von Unternehmen. Aufgrund dieser Vorteile hat es sich zum Standard für die Verschlüsselung entwickelt und wird auch von vielen großen Unternehmen wie Google oder Facebook verwendet.

Was ist Heartbleed?

Mitte April 2014 wurde festgestellt, dass das Verschlüsslungsprotokoll OpenSSL einen Fehler enthält. Viele Webseiten haben diese fehlerhafte Version von OpenSSL seit Jahren verwendet und  manche verwenden sie immer noch. Aufgrund dieses Fehlers war oder ist es möglich, dass Unbefugte die Kommunikation zwischen einen Computer und einer Webseite entschlüsseln können. Das muss nicht der Fall gewesen sein, aber die Möglichkeit bestand und besteht möglicherweise immer noch. Dieser Fehler wird mit dem Namen „Heartbleed“ bezeichnet.

Gefahren für Privatanwender

Wenn ich in den letzten zwei Jahren zum Beispiel den Emaildienst Gmail von Google benutzt habe, dann könnte theoretisch jemand die Kommunikation zwischen meinem Computer und dem Server von Google „belauscht“ haben. Das Problem hierbei ist weniger der Inhalt der Emails, sondern mein Passwort bei Googlemail. Da viele Anwender das gleiche Passwort für viele Dienste verwenden, könnte man ja mal ausprobieren, ob das Kennwort nicht auch zum Beispiel bei PayPal funktioniert.

Google und viele andere der betroffenen Dienste haben die Lücke bereits geschlossen. Trotzdem sollte ich mein Passwort ändern, da nicht auszuschließen ist, dass jemand im Besitz meines Kennworts ist. Sollte der Webdienst den OpenSSL Fehler noch nicht behoben haben, macht es ebenfalls Sinn, das Kennwort zu ändern. Allerdings sollte das Kennwort noch einmal geändert werden, wenn der Anbieter die Sicherheitslücke entgültig beseitigt hat. Die Webseite mashable.com hat eine sehr gute Übersicht erstellt, auf der man sehen kann, welche Dienste betroffen waren und ob der Fehler bereits behoben wurde:

Mashable Heartbleed List

Heartbleed Übersicht von mashable.com

http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/

Da man unter Umständen sehr viele Kennwörter ändern muss und am besten für jede Webseite ein eigenes verwenden sollte, empfiehlt sich die Verwendung eines Passwortmanagers. Ich verwende seit vielen Jahren bereits das Programm 1Password, das mittlerweile für OSX, Windows, iOS und Android verfügbar ist.

1Password Screenshot OSX

Mit der Webbrowser Erweiterung von 1Password kann man auf jeder Webseite die Passwortdatenbank nutzen

Damit lassen sich sichere Passwörter generieren und verwalten. Aufgrund der Heartbleed Problematik bietet der Hersteller AgileBits das Programm momentan mit 50% Rabatt im Mac App Store für 21,99€ an.

Gefahren für Netzwerkbetreiber

Die meisten Internetnutzer betrifft Heartbleed „nur“ als Anwender von Emaildiensten oder anderen Webseiten, mit denen sie kommunizieren. Wenn Sie jedoch Zuhause oder in Ihrem Büro einen Server oder auch ein NAS betreiben, der auch über das Internet von außerhalb erreichbar ist, dann betrifft Sie Heartbleed auch von der anderen Seite aus. Auch die von uns vertriebenen Lösungen von Kerio oder Synology verwenden für die Verschlüsslung unter anderem OpenSSL. Mittlerweile sind für alle Produkte entsprechende Updates und Patches verfügbar.

Kerio Connect und Kerio Control

Bei Kerio sind nur bestimmte Versionen betroffen, welche die schadhafte OpenSSL Version verwenden. Alle Lizenznehmer von Kerio Connect und Kerio Control wurden per Email kontaktiert und auf das Problem hingewiesen. Auf dieser Seite von Kerio können Sie nachlesen, welche Versionen betroffen sind und die entsprechenden Updates installieren: http://kb.kerio.com/product/kerio-operator/openssl-vulnerability-cve-2014-0160-heartbleed-1585.html

Synology

Wer ein Synology NAS verwendet, sollte ebenfalls das Betriebsystem DSM aktualiseren. Welche Versionen fehlerhaft sind, und welche Update Möglichkeiten bestehen, kann man auf dieser Webseite nachlesen: http://www.synology.com/de-de/company/news/article/450

Wenn Sie noch Fragen zu diesem Thema haben, nutzen Sie einfach das Kommentarfeld unter dem Artikel.

Autor: Gerhard Bauer

Dipl. Ing. Innenarchitekt ByAK / Apple Certified Technical Coordinator 10.9

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.