War da was? Kommunikation von Online-Diensten nach dem Heartbleed-Desaster

17. April 2014, 13:59 Uhr | Hot/Flop, Meinung

Mal wieder alle Passwörter ändern – so war ich direkt betroffen vom Heartbleed-Bug der OpenSSL-Verschlüsselung. Ja, und dann war ich gespannt, wie denn die Dienste, bei denen ich registriert bin, sich an mich wenden und mir als Kunden erklären, ob sie (und damit ich) betroffen sind, und was nun zu tun sei. Bis jetzt hat sich noch niemand gemeldet. Man könnte glauben, zu Heartbleed besteht ein Schweigegelübde praktisch aller betroffenen Unternehmen.

heartbleedschweigen

Wer denn da so alles seine Scheunentore den Hackern und der NSA geöffnet hat, durfte ich dafür der Presse entnehmen oder selber testen. Angesichts des Ausmaßes am meisten betroffen ist das Betriebssystem Android, hier sind zwar „nur“ fünf Prozent der Apps anfällig, aber das darf nicht unterschätzt werden. Bei mehr als zwanzig durchschnittlich auf einem Android-Gerät installierten Apps ist so also im Schnitt mindestens eine App pro Anwender Heartbleed-gefährdet. Und dann steckt der anfällige OpenSSL-Code auch noch in verschiedenen Custom-ROM-Versionen von Android, beispielsweise dem beliebten CyanogenMod. Ob Apps oder Custom ROM mit der anfälligen OpenSSL-Version arbeiten, können Sie mit einem Tool von Lookout Security überprüfen.

Das Ausmaß des Heartbleed-Bugs zeigt sich auch an den aktuellen Überstunden der Server-Administratoren rund um den Globus. Etwa zwei von drei aller Server weltweit benötigen bzw. benötigten neue SSL-Zertifikate und das reine Austauschen reicht nicht. Die alten SSL-Schlüssel müssen auch noch für ungültig erklärt werden, und das könnte so mancher Administrator übersehen. So kämen Hacker auch bei neuen SSL-Schlüsseln mit man-in-the-middle-Attacken an ihre Beute. Viele Dienste haben ja längst auf den Heartbleed-Bug reagiert, aber man darf dem Braten nicht trauen.

Zumindest an der Passwort-Front wäre es doch ganz einfach: Die Dienste können schlichtweg alte Passwörter nicht mehr zulassen und so ihre Nutzer dazu verpflichten, neue Passwörter einzurichten. So handhaben es beispielsweise Prezi oder Soundcloud, und ich habe noch nichts von Proteststürmen der Nutzer vernommen.

Zipperkopf_GaanzSchlecht

Deutsche Onlinedienste müssten schon rein rechtlich ihre Kunden von sich aus informieren, irgendeine Notiz irgendwo auf der Website reicht da nicht.
– Bernd Zipper

Aber zurück zu dem, was ich skandalös finde: Zumindest deutsche Onlinedienste, die vom Heartbleed-bug betroffen sind oder waren, müssten eigentlich schon rein rechtlich ihre Kunden von dem potentiellen Datenleck von sich aus informieren (siehe Paragraph 42a Bundesdatenschutzgesetz). Eine allgemeine Veröffentlichung irgendwo auf seiner Website reicht da nicht, da es das aktive Zutun des Kunden verlangt. Und? Passiert ist diesbezüglich nichts. Weder in meinem E-Mail-Eingang noch im Briefkasten bekam ich bis jetzt Nachricht von den Onlinediensten (E-Mail-Dienste, Online Shops, Banken, Kreditkartendienste, Online-Zahlungsdienste,…), bei denen ich registriert bin. Halt, ein Unternehmen hat mir doch noch eine E-Mail geschickt. Der Druckmaschinenbauer KBA informierte mich, dass die für die Fernwartung seiner Maschinen verwendete Software vom OpenSSL-Bug nicht betroffen ist. Nun sind zwar die Offset- und Rotationsmaschinen ein wenig zu groß, um in mein Büro zu passen, aber trotzdem nett zu wissen.

PS: Mit dem Heartbleed-GAU ist auch der Ruf von Open Source Software beschädigt worden. Zur Ehrenrettung möchte ich darauf verweisen, dass mittlerweile Open-Source-Code weniger fehlerbehaftet ist als Programmcode von kommerziellen Projekten, wie der Software-Sicherheitstester Coverty berichtet.

Über den Autor

0 Kommentare


Was meinen Sie zu diesem Thema?

Wir freuen uns über Ihren Kommentar.

Schreibe einen Kommentar

* Pflichtangaben; Ihre E-Mail-Adresse wird nicht veröffentlicht.
 

Copyright

Copyright 2015 Bernd Zipper, zipcon consulting GmbH

Archiv