Eine Panne mit weitreichenden Folgen und vielen Fragen. Als vor wenigen Tagen erstmals über den schweren Programmierfehler bei OpenSSL berichtet wurde, war die Verunsicherung über die Wirksamkeit der Datenverschlüsselung groß.
Das Ausmaß dieses Bugs wird deutlich, wenn man sich die große Menge an Meldungen vor Augen führt, die zu diesem Thema veröffentlicht worden sind.
Der Inhalt im Überblick
Was war passiert?
Die Entwickler der weitverbreiteten Verschlüsselungsbibliothek OpenSSL haben ein Update (Version 1.0.1g) veröffentlicht und damit eine Lücke geschlossen. Diese ermöglicht es Angreifern, Schlüssel, Passwörter und weitere geheime Daten abzugreifen.
Angesiedelt ist dieser Bug in der sog. Heartbeat-Funktion (Herzschlag), welche anhand von Statusinformationen überprüft, ob der jeweilige Kommunikationspartner noch aktiv ist. Mangels Überprüfung eines Speicherzugriffs ist es Angreifern hierdurch möglich, unbemerkt Daten bei der Gegenstelle auszulesen und hierdurch z.B. Zertifikatsschlüssel, Authentifizierungsdaten oder auch verschlüsselte Inhalte abzuschöpfen.
Wer ist betroffen?
Grundsätzlich sind sämtliche Betreiber betroffen, die verschlüsselte Dienste anbieten. Insbesondere betrifft dies VPN-, Mail-, Server-Anbieter und viele weitere Dienste, die die OpenSSL-Bibliothek verwenden. Die Problematik betrifft jedoch nicht nur größere, sondern auch private Dienste (z.B. Router, selbst aufgesetzte Server, etc.), sofern für die Verschlüsselung die OpenSSL-Bibliothek zum Einsatz kommt.
Das Ausmaß der betroffenen Anbieter ist nicht zu unterschätzen! Um sich einen Überblick einiger Betroffener zu verschaffen, lohnt ein Blick auf die Mashable-Website, wobei der Fokus dort auf us-amerikanischen Anbietern liegt.
Aufgrund der Tragweite dieses kritischen Problems stellt sich die Frage, wie es um die Sicherheit von Diensten steht, die hochsensible Daten über das Internet austauschen. Die Gematik z. B. bietet hier mit der Telematik-Lösung für die Gesundheitskarte ein mögliches Einfallstor für Angreifer, um an Gesundheitsdaten zahlreicher Patienten zu gelangen. Die Unternehmenssprecherin der Gematik, Heike Fischer, erklärte gegenüber heise online, dass die Gesundheits-Telematik nicht vom Heartbleed-Bug betroffen sei, da keiner der geplanten Dienste bereits am Netz sei. Darüber hinaus seien Anbieter entsprechender Lösungen von der Gematik um Stellungnahmen in Bezug auf den Einsatz der betroffenen SSL-Bibliotheken gebeten worden. Auch wenn bei der Gesundheits-Telematik mangels praktischen Einsatzes hierüber keine akute Gefahr für Gesundheitsdaten besteht, so zeigt dies doch, wie schwerwiegend solche Szenarien für die Sicherheit derart sensibler Daten ist.
Was ist zu tun?
Viele Dienste sind betroffen und die Anbieter arbeiten mit Hochdruck dabei das Leck durch eine aktualisierte Bibliothek zu schließen oder haben diese bereits geschlossen.
Aber auch für den Nutzer besteht Handlungsbedarf, denn keiner weiß wirklich genau, wie lang und durch wen, die Lücke in der Vergangenheit bereits ausgenutzt worden ist, um vermeintlich sichere Kommunikationsdaten in Erfahrung zu bringen. Nutzer betreffender Dienste, wie Mail-, Server- oder auch Bankdienste usw. sollten sämtliche Passwörter ändern, nachdem die betreffenden Anbieter die Lücke geschlossen haben. Sind Sie sich nicht sicher, ob auch Ihr Anbieter betroffen ist, sollten Sie ihn kontaktieren und um Auskunft bitten.
Wie geht es weiter?
Das enorme Ausmaß dieser Lücke in der OpenSSL-Bibliothek zeigt, wie gravierend und umfassend die Folgen sein können. Um solche sicherheitsrelevanten Projekte wie OpenSSL stemmen zu können, bedarf es ausreichender fachlicher Kompetenz und daher auch finanzielle Unterstützung, damit entsprechende Leistung eingekauft werden kann. Wie heise berichtet, bittet das Projekt nun um finanzielle Unterstützung. Wie üblich bei OpenSource-Projekten, läuft die Entwicklung (Diskussion, Verbesserung) über öffentliche Mailing-Listen ab. Gemein ist diesen, dass sie über zu wenig Festpersonal verfügen, was überwiegend auf geringe und schwankende Finanzmittel zurückzuführen ist. Das große Medienecho hat sicherlich dazu beigetragen, dass innerhalb kurzer Zeit bereits 9.000 Dollar an Spenden eingesammelt werden konnten.
Gerade bei solchen Projekten, die für einen nahezu flächendeckenden Einsatz sicherheitsrelevanter Infrastruktur gedacht sind, wäre es wünschenswert, wenn dort mehr festes Personal beschäftigt wäre. Nur ausreichende Kapazitäten können einen guten Entwicklungsprozess mit ordentlichen Vorabtest gewährleisten, wodurch solche Fehler, wie hier geschehen, ggf. hätten vermieden werden können. Damit einher geht aber auch, dass die Unterstützung durch die Nutznießer letztlich auch angemessen ist, um Personalbedarf und Entwicklung abzusichern.
