Bundesamt für Sicherheit in der Informationstechnik

"Heartbleed Bug": BSI sieht weiteren Handlungsbedarf

Ort Bonn
Datum 16.04.2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht beim "Heartbleed Bug" weiteren Handlungsbedarf.

Aufgrund der Sicherheitslücke in der Programmerweiterung der Open-SSL-Bibliothek, die am 7. April 2014 bekannt wurde, erfolgten am 8. April 2014 die BSI-Informationen mit Handlungsempfehlungen an die Unternehmen der Kritischen Infrastrukturen, an die Behörden im Bund und in den Ländern sowie an die Mitglieder der Allianz für Cyber-Sicherheit, damit die Sicherheitslücke bei betroffenen IT-Systemen mit dem veröffentlichten Update geschlossen und die Zertifikate erneuert werden.

Inzwischen haben viele Betreiber von betroffenen IT-Systemen, insbesondere von Webservern, die Schwachstelle durch das Sicherheitsupdate geschlossen und die Zertifikate erneuert.
Das BSI stellt jedoch fest, dass derzeit noch viele Webseiten zum Beispiel kleinere Online-Shops oder Internetseiten von Vereinen für "Heartbleed"-Angriffe verwundbar sind. Solche Webseiten werden oftmals ohne professionellen Update-Prozess betrieben.

Dies ist daher kritisch, da das BSI weiterhin großflächige Scans nach für "Heartbleed" verwundbaren Servern registriert. Aktuellen Beobachtungen zufolge werden inzwischen vor allem auch verwundbare E-Mail-Server gesucht. Da sich die Aktualisierungsaufwände bei vielen Betreibern bisher auf die Webserver konzentrierten, sind bei den Angreifern jetzt andere Systeme, die OpenSSL einsetzen, im Fokus.

Das BSI empfiehlt daher, auch E-Mail-Server, Server für Video- und Telefonkonferenzen und weitere von außen erreichbare Server daraufhin zu untersuchen, ob sie eine verwundbare OpenSSL-Version einsetzen. Diese Empfehlung gilt auch für Sicherheitskomponenten, die OpenSSL einsetzen, wie zum Beispiel Firewalls. Betreiber von Webservices können mit der Analyse-Software OpenVAS (Open Vulnerability Assessment System) prüfen, ob ihre Anwendung vom "Heartbleed Bug" betroffen ist.

Das BSI bewertet den Aufwand für einen Angreifer als sehr hoch, den privaten SSL-Schlüssel des Serverbetreibers auszulesen. Trotzdem sollten sicherheitshalber SSL-Zertifikate von Servern, die verwundbar waren, ausgetauscht werden.

Die "Heartbleed"-Schwachstelle ist für großflächige, ungezielte Angriffe geeignet. Sie ist dazu geeignet, auf opportunistische Weise ausgenutzt zu werden. Das bedeutet, Angreifer fangen unterscheidungslos Daten ab. "Heartbleed" kann nicht genutzt werden, um gezielt das Passwort eines gewünschten Benutzers auslesen. Jedoch ist es leicht möglich, Passwörter der Nutzer, die aktuell in einem von der Schwachstelle betroffenen Dienst eingeloggt sind, auszulesen.

Nutzer sollten sich beim Betreiber der Webservices erkundigen, ob eine durch "Heartbleed" erforderliche Aktualisierung der IT-Systeme abgeschlossen ist. Nach dieser Aktualisierung sollten die Nutzer ihre Passwörter kurzfristig ändern.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de