Bundesamt für Sicherheit in der Informationstechnik

DROWN – Veraltete Verschlüsselung macht Server anfällig

Ort Bonn
Datum 04.03.2016

Die Verwendung der veralteten Verschlüsselungstechnologie SSLv2 bietet Angreifern ein potentielles Einfallstor auf Webserver. Internetnutzer sind darauf angewiesen, dass die Server-Betreiber die Schwachstelle schließen.

Der sogenannte DROWN-Angriff (Decrypting RSA with Obsolete and Weakened eNcryption) nutzt mehrere Schwachstellen des SSLv2-Standards aus dem Jahr 1995. Dieser wird wegen einer fehlerhaften Konfiguration noch auf vielen Servern eingesetzt. Gelingt das Entschlüsseln der Datenströme, stehen den Angreifern zahlreiche Nutzerdaten offen.

Nach Informationen des Bundesamtes für Sicherheit in der Informationstechnik sind rund 800 Server-Betreiber in Deutschland betroffen. Diese wurden vom BSI im Rahmen seiner Präventionsaufgabe unmittelbar nach Bekanntwerden über die Sicherheitslücke informiert. Über eine aktive Ausnutzung der Schwachstelle liegen dem BSI keine Informationen vor.

Nach Einschätzung des BSI ist ein gezielter Angriff schwierig einzusetzen, aber technisch durchführbar. Das BSI empfiehlt daher Server-Betreibern, SSLv2 auf den betroffenen Servern abzuschalten. Eine Deaktivierung der SSLv2-Kryptoalgorithmen ist nicht ausreichend.

Das BSI rät in seinen Empfehlungen für den Einsatz des TLS-Protokolls (eine Erweiterung des SSL-Protokolls) dazu, ausschließlich TLS 1.2 zu verwenden. Server, die SSLv2 nicht unterstützen und deren Schlüsselmaterial nicht noch zusätzlich auf einem anderen Server liegen, der SSLv2 unterstützt, sind für den DROWN-Angriff nicht anfällig.

Pressekontakt:

Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363
53133 Bonn
Telefon: +49 228 99 9582-5777
Telefax: +49 228 99 9582-5455
E-Mail: presse@bsi.bund.de

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK