Sicherheitsprotokoll Nr. 1 im Internet mit Schwachstelle
Sicherheitsexperten von Google und Godenomicon haben gestern Nacht einen Bug in der weit verbreiteten Verschlüsselungssoftware OpenSSL veröffentlicht, welche es dem Angreifer ermöglicht geschützte Informationen auszulesen, bzw. sogar geschützte Kommunikationen zu übernehmen und sich selbst als diese geschützten Dienste auszugeben. D.h. im schlimmsten Fall gibt man seine vielleicht geheimen Informationen genau bei der falschen Stelle ab, da diese sich perfekt als die gewünscht Gegenstelle offenbart! Dies ist natürlich eine Katastrophe für die Verschlüsselung im Internet und die Datendiebe haben ein leichtes Spiel nun an die gewünschten Informationen zu kommen.
Egal ob es die sichere Kommunikation mit einem Webserver ist, die verschlüsselte Übertragung zu einem Mailserver oder auch die vermeintlich sichere VPN Verbindung in die Firma – an vielen Stellen wo Sicherheit groß geschrieben wird, kommen Bausteine der OpenSSL Technik zum Einsatz. Genau diese Verbindungen sind nun nach dem bekannt werden der Schwachstelle gar nicht mehr so sicher!
OpenSSL hat natürlich sehr schnell auf die bedrohliche Lage reagiert und sofort ein Update heraus gebracht, welches die Sicherheitslücke schließt! Doch nun sind die Dienstanbieter gefragt! Jede Software die sich an Bibliotheken von OpenSSL bedient könnte die Schwachstelle beherbergen und muss gefixed, bzw. muss ein Update der entsprechenden Software gefahren werden.
Hier sind nun auch die Admins gefragt, welche möglichst schnell ihre Webserver und Mailserver auf den aktuellen Stand bringen müssen. Der reine Endanwender hat leider kaum eine Möglichkeit die Gefahr abzuschätzen. Hier bleibt nur der Rat, sich in den nächsten Wochen nicht zu sicher zu fühlen, auch wenn scheinbar vielleicht alles ganz plausibel aussieht.
Wie die Sicherheitslücke in das OpenSSL gelangt ist, ist bislang noch unklar. OpenSSL ist ein quelloffenes System und kann rein theoretisch von jedem eingesehen und weiter entwickelt werden. Aber wie es zu dieser negativen Verteilung kam und ob hier absichtlich jemand manipuliert hat, ist noch unklar und wird es wahrscheinlich auch bleiben.
