Am Dienstag, den 08.04.2014 wurde eine Sicherheitslücke in der Verschlüsselungsbibliothek Open-SSL bekannt, der „Heartbleed-Bug“. Server-Administratoren rund um den Globus gerieten in Aufruhr, denn fast alle Webserver die verschlüsselte Webseiten anbieten (erkennbar am https://), waren davon betroffen. Unsere Techniker haben sofort reagiert, unsere Systeme noch am selben Tag upgedatet und den Fehler damit eliminiert. Auf Heise.de erfahren Sie mehr über Heartbleed, auch wie man Webseiten auf den Fehler hin testen kann.
Bei einigen der im Web angebotenen Tests werden auch die SSL-Zertifikate getestet die auf der Seite eingesetzt werden. Leider sind diese Tests nicht immer Up-to-Date bzw. technisch in der Lage zu unterscheiden, mit welcher Open-SSL-Version das Zertifikat erstellt wurde. Unsere Zertifikate wurden mit einer Open-SSL Version erstellt, die nicht von dem Heartbleed-Fehler betroffen war/ist. Betroffen waren nach unserem Kenntnisstand die Open-SSL-Versionen 1.0.1 [a – e]. Unsere SSL-Zertifikate sind deshalb nicht betroffen und werden erst im Herbst dieses Jahres wieder turnusmäßig ausgetauscht.
Wir können nicht zu 100% ausschließen, ob unser System davon betroffen war, denn die Sicherheitslücke ermöglichte es potentiellen Angreifern, sich unbemerkt auf den Servern einzunisten. Open-SSL generiert hierfür leider keine Logeinträge. Der Angriff galt soweit bekannt, dem geheimen SSL-Private-Key. Passwörter und/oder Kundendaten konnten aber nicht mitgelesen werden, denn wir setzen schon seit längerem Perfect Forward Secrecy (PFS) ein. Wir raten dennoch unsere Kunden, sofort eigene Sicherheitsmaßnahmen zu ergreifen:
- Ändern Sie Ihr Zugangspasswort schnellstmöglich. Wählen Sie dabei ein Passwort mit mindestens 12 Zeichen. Das Passwort sollte Sonderzeichen sowie eine Kombination aus Buchstaben (Groß- und kleingeschrieben) und Zahlen enthalten.
- Ändern Sie Ihr Zugangspasswort zudem in regelmässigen Abständen
- Speichern Sie keine Passwörter mit der Autospeicherungsfunktion z.B. im Browser
- Verwenden Sie ein Passwort immer nur ein mal. D.h. für jedes Login (auf verschiedenen Webseiten) ein anderes Passwort.
- Löschen bzw. leeren Sie nach der Browsersitzung den Cache sowie die Cookies. Die meisten Browser bieten hierfür eine Automatik an – z.B. beim Schließen des Browsers.
- Lassen Sie Ihren E-Mailaccount nicht geöffnet, wenn Sie z.B. in die Mittagspause gehen und sperren Sie Ihren Rechner