Mirko Brandner

ist Entwickler, Berater und Produktmanager und seit 2013 Senior Sales Engineer bei Arxan Technologies.

Enterprise

Zeit zum Umdenken

Was wir aus dem “Heartbleed Bug” in Sachen Sicherheit lernen können – das hat sich silicon.de-Blogger Mirko Brandner heute zum Thema gemacht. Für ihn ist vor allem wichtig, welche Konsequenzen man daraus auch für den Einsatz von Open Source ziehen sollte.

Stellen Sie sich vor, Sie wachen eines Morgens auf und müssen feststellen, dass, obwohl Sie Ihre Haustüre fest verriegelt haben, ein Fenster Ihres Hauses offen steht… und das seit mehr als zwei Jahren!

Genau das ist es, was die Internetgemeinde letzte Woche erschrocken feststellen musste: OpenSSL, das am weitesten verbreitete, kostenlose Verschlüsselungs-Toolkit, hat eines seiner Fenster offen gelassen. Jeder einzelne Server, auf welchem die Versionen OpenSSL 1.0.1 bis OpenSSL 1.0.1f laufen, war davon betroffen – ganze zwei Jahre lang.

“Heartbleed Bug” nennt sich dieser schwerwiegende Programmierfehler, der es Angreifern problemlos ermöglicht, 64kb an Daten aus dem Arbeitsspeicher eines Servers auszulesen, darunter auch vertrauliche und sensible Informationen, wie E-Mail-Adressen, Passwörter oder gar Kontodaten. Was diesen Exploit dabei so einzigartig und gefährlich macht, ist, dass keinerlei Authentifikation und nur geringe Erfahrung erforderlich sind, um die Sicherheitslücke auszunutzen und zu verbreiten. Das Risiko, welches der “Heartbleed Bug” für Unternehmen und jeden einzelnen User bedeutet, ist beispiellos.

Auch der bekannte Internet-Experte für Kryptographie und Computersicherheit Bruce Schneier macht in seinem aktuellen Blog auf die Gefährlichkeit des “Heartbleed Bugs” aufmerksam. Auf einer Schwere-Skala von 1 bis 10 stuft er die Sicherheitslücke sogar als glatte 11 ein. Aufgrund der unglaublich langen Zeit bis zu ihrer Entdeckung ist laut Schneier zu befürchten, dass alle privaten Schlüssel aufgedeckt, alle Passwörter gestohlen wurden und als Folge nahezu jeder im Netz verwundbar ist – selbst wenn die Sicherheitslücke unlängst behoben wurde.

Führende Experten empfehlen derzeit ein zweistufiges Vorgehen: Zum einen ein relativ kostengünstiges Update der Software, zum anderen das Erneuern sämtlicher kompromittierter, sensibler Daten wie SSL-Zertifikate, Keys und Passwörter.

Laut dem britischen Internetservice-Unternehmen Netcraft sind mehr als 500.000 Webseiten betroffen. Enorme Anstrengungen und unvorstellbar hohe Kosten sind jetzt notwendig, um die Auswirkungen dieses fahrlässigen Codierungsfehlers zu beheben.

Das Fenster, das ganze zwei Jahre lang offenstand, ist mittlerweile geschlossen, doch der Schaden hält an. Ereignisse wie die “Master Key”-Lücke von Android, der Adobe-Datenklau und nun der “Heartbleed Bug” im OpenSSL machen unsere Verwundbarkeit im Netz immer wieder deutlich. Sind Sicherheits- und Abwehrmechanismen erst einmal beschädigt, ist das Tor zu unserem Allerheiligsten für Hacker und Betrüger geöffnet. Von Zeit zu Zeit werden wir mit gravierenden Sicherheitslücken konfrontiert, und fangen dann immer wieder von vorne damit an, Schaden zu mildern und bestehende Sicherheitskonzepte zu überdenken, aber wie es scheint, nicht genug, denn der nächste Angriff lässt meist nicht lange auf sich warten.

Der “Heartbleed Bug” hat alles verändert und unser Bewusstsein für neue Angriffspunkte für Server-Exploits geschärft. Unser interner Datenbestand hat sich als verletzlich erwiesen und gebräuchliche Sicherheitsmaßnahmen schützen uns höchstens bis zur nächsten Datenpanne. Wer gestern noch dachte, Sicherheitsmechanismen wie die OpenSSL-Verschlüsselung schützen seine Daten vor Hackerangriffen, muss sich heute eines Besseren belehren lassen. Auch die Annahme, dass der Open Source-Ansatz für ein Plus an Sicherheit steht, erwies sich als falsch.

Doch was ist die Lösung des Problems? Gibt es Möglichkeiten, uns zukünftig vor Sicherheitspannen wie dem “Heartbleed Bug” zu schützen oder müssen wir mit weiteren und vielleicht schlimmeren Angriffen auf unsere sensiblen Daten rechnen?

Unternehmen und Softwareentwickler müssen ihr Bewusstsein für ein ganzheitliches und umfassendes Sicherheitskonzept schärfen, denn in den meisten Fällen wird unsere Software allein durch passive Prozesse wie Verschleierung oder eben Verschlüsselung vor unbefugten Ein- und Zugriffen geschützt. Den vielfältigen Bedrohungen werden diese passiven Schutzmaßnahmen aber bei weitem nicht gerecht. Versagt die Verschlüsselung wie im Falle des “Heartbleed Bugs”, hat die Anwendung keinen Rückhalt mehr und ist dem Angreifer ausgeliefert. Unsere Daten sind in Gefahr.

Eine erfolgreiche Software-Sicherheitslösung geht über statische Prozesse hinaus und schützt sensible Anwendungen proaktiv und dynamisch durch die Abwehr, Erkennung und Reaktion auf jegliche Angriffe. Hierfür sind mehrschichtigen Sicherheitsmaßnahmen nötig, die bereits nach Abschluss des Entwicklungsprozesses einer Anwendung automatisch in die ausführbare Software eingefügt werden müssen. Die Schutzmaßnahmen bewachen dann sowohl die Anwendung als auch sich gegenseitig und bilden so ein komplexes und dynamisches Netzwerk, das Angriffe und Bedrohungen erkennt, abwehrt und die in der Anwendung enthaltenen Daten auf diese Weise wirksam schützt. Dank dieser umfassenden Verteidigungsstrategie werden Exploits wie der “Heartbleed Bug” entdeckt und gemeldet.

Der “Heartbleed Bug” ist die wohl schlimmste Sicherheitslücke seit langem und macht einmal mehr deutlich, dass es Zeit ist, umzudenken und in Sachen Sicherheit neue und erfolgreiche Wege zu gehen.

  1. Nur eine Korinthe. :O)

    Es sind “nur” 16 kb, keine 64 kb, die aus dem Arbeitsspeicher des Servers ausgelesen werden können.