Heartbleed: Wann das nächste Heartbleed bevorsteht

Der OpenSSL-Bug war eine ausgewachsene Katastrophe. Anwender, die jetzt mit dem Finger zeigen, sollten sich aber fragen, wie viel ihnen ihre Online-Sicherheit wert ist. Die Software, die rund die Hälfte aller https-Verbindungen regelt, ernährt bislang nämlich gerade einmal einen einzigen Entwickler.

Eine Vollzeitstelle https ist zu wenig

Von Roland Freist

Nachdem sich die erste Aufregung um den Heartbleed-Bug in OpenSSL gelegt hat, ist es möglich, nüchtern Bilanz zu ziehen. Im Vordergrund sollen dabei zwei Fragen stehen: Was können und sollten Unternehmen jetzt tun? Und was bedeutet die Entdeckung der Sicherheitslücke für die weitere Entwicklung von Open Source?

Doch zunächst einmal muss geklärt werden, worum es eigentlich geht. OpenSSL ist die Open-Source-Variante von SSL, also des Datenübertragungsprotokolls Secure Sockets Layer, das heute Transport Layer Security (TLS) heißt. TLS dient zum Verschlüsseln von Internet-Verbindungen. Immer wenn eine Web-Adresse mit „https“ beginnt, ist TLS im Einsatz. Verwendet werden dazu Produkte wie eben OpenSSL, das als kostenlose Open-Source-Software sehr beliebt ist und unter den TLS-Produkten schätzungsweise 50 % Marktanteil besitzt.

Passwörter im Klartext

Aufgrund eines Programmierfehlers war es bei den Versionen 1.0.1 bis 1.0.1f möglich, Teile des Arbeitsspeichers der Server auszulesen, auf denen OpenSSL eingerichtet ist. Das kann der Angreifer mehrfach wiederholen, ohne dabei auf dem Server Spuren zu hinterlassen. Wenn sich in diesem Teil des Speichers Daten wie Benutzernamen, Passwörter oder Kreditkartennummern befinden, sind sie für den Angreifer frei einsehbar. In einer Demonstration des Bugs konnte der russische Programmierer Fedor Indutny mit insgesamt 2,5 Mio. Anfragen an einen Server sogar dessen geheime Schlüssel auslesen, also den Code, mit dem die TLS-Verschlüsselung geschützt ist.

Die betroffenen OpenSSL-Versionen waren u.a. auf den Servern von Twitter, Yahoo, Tumblr und Dropbox, der HypoVereinsbank und der Suchmaschine DuckDuckGo im Einsatz. Zudem bestätigten viele Hersteller von Sicherheitsprodukten und Linux-Distributionen, dass ihre Produkte die OpenSSL-Sicherheitslücke aufwiesen, so etwa Aruba Networks, BlueCoat, CheckPoint, Cisco Debian, F5, Fortinet, Juniper, Novell, RedHat, Sophos, Ubuntu und Watchguard. Alle diese Firmen haben ihre OpenSSL-Installationen sofort nach Bekanntwerden des Bugs mit einem Update wieder sicher gemacht.

Theoretisch ist es übrigens auch möglich, dass ein bösartiger Server über OpenSSL die Clients ausspioniert, die sich mit ihm verbinden. Und schließlich benutzen auch einige Router, NAS-Geräte und Appliances OpenSSL, etwa um Anwendern einen verschlüsselten Fernzugriff auf die Einstellungen zu erlauben.

Der Bug tauchte Anfang 2012 in OpenSSL auf und wurde am 7. April 2014 durch einen Sicherheitshinweis öffentlich. Zu diesem Zeitpunkt stand mit der 1.0.1g auch bereits eine bereinigte Version von OpenSSL zur Verfügung. Es besteht jedoch die Gefahr, dass Hacker den Heartbleed genannten Bug bereits vor dem 7. April 2014 entdeckt und zum Ausspähen von Benutzerdaten genutzt haben. Damit könnten sie sich Zugriff auf zahlreiche Webdienste, E-Mail-Services und interne Firmennetze verschafft haben.

Unerkannt oder spurenlos

Da Angriffe über die OpenSSL-Lücke keine Spuren hinterlassen, ist unbekannt, ob sie tatsächlich bereits ausgenutzt wurde. Ebenso wenig weiß man, ob überhaupt ein Hacker den Bug entdeckt hatte, bevor der Sicherheitshinweis veröffentlicht wurde. Entsprechende Nachrichten aus den einschlägigen Chat-Räumen und Foren drangen jedenfalls nicht nach außen. Die bekannt gewordenen, spektakulären Fälle von Datendiebstahl aus den letzten Monaten wie etwa der Anfang April veröffentlichte Fund von 18 Mio. E-Mail-Adressen sind auf andere Ursachen zurückzuführen.

Viele Server mit verschlüsselter Kommunikation waren von dem Bug zudem nicht betroffen, da sie entweder mit einer anderen TLS-Software arbeiteten oder keine der OpenSSL-Versionen verwendeten, in denen die Lücke auftrat. Das gilt auch für die meisten installierten Router und NAS-Geräte.

Die Wahrscheinlichkeit, dass tatsächlich jemand die Sicherheitslücke ausgenutzt hat, relativiert sich dadurch auf einen verhältnismäßig kleinen Unsicherheitsfaktor. Doch das Gefühl, dass vermutlich nichts passiert ist, darf nicht dazu führen, dass Unternehmen tatenlos bleiben. Denn falls Zugangs– oder andere Daten gestohlen wurden, können sie noch in mehreren Monaten oder Jahren für Angriffe genutzt werden.

Zudem weist das Bundesamt für Sicherheit in der Informationstechnik darauf hin, dass zwar die meisten großen Internet-Dienste ihre OpenSSL-Installationen mittlerweile aktualisiert haben. Viele kleinere Online-Shops oder Websites z.B. von Vereinen seien jedoch nach wie vor verwundbar. Da die Hacker jetzt wissen, wie sie die Sicherheitslücke ausnutzen können, ist die Gefahr dort besonders groß.

Das große Aufräumen

Das sollten Unternehmen tun: Sämtliche Linux-Server und -Clients müssen – falls das noch nicht geschehen ist – mit Updates auf den neuesten Stand gebracht werden. Außerdem müssen die TLS-Zertifikate ausgetauscht werden, da es möglich ist, dass sie Hackern in die Hände gefallen sind. Anbieter wie GlobalSign, Thawte oder Comodo weisen darauf hin, dass sie neue Zertifikate im Austausch kostenlos zur Verfügung stellen.

Die weit größere Gefahr ist jedoch, dass Mitarbeiter auf einen kompromittierten Server zugegriffen haben, wodurch ihre Anmeldedaten Kriminellen in die Hände gefallen sind. Leider verwenden viele Anwender für ihre sämtlichen Internet-, aber auch interne Firmendienste ein und dasselbe Kennwort. Hacker wissen das. Also versuchen sie, mit den abgegriffenen Daten auf das Unternehmensnetzwerk zuzugreifen.

Die Mitarbeiter sollten zum einen auf diese Gefahr hingewiesen werden, zum anderen sollte der Administrator die Definition eines neuen, sicheren Kennworts erzwingen. Des Weiteren empfiehlt sich auf jedem Desktop die Installation eines Passwort-Managers, der mit einem Zufallsgenerator sichere Kennwörter erzeugen kann, alle verwendeten Passwörter verwaltet und mit einem Master-Kennwort schützt. Mit dem KeePass Passwort Safe ist zu diesem Zweck auch ein freies Programm unter der GNU General Public License (GPL) erhältlich.

Fazit: Heartbleed kriegen Sie kostenlos

Open-Source-Software zeichnet sich u.a. dadurch aus, dass ihr Code frei einsehbar ist, sodass ihn jeder weiterentwickeln und auch überprüfen kann. Programmierfehler werden daher in der Regel schnell gefunden, da immer wieder jemand auf den Code schaut und etwaige Bugs sofort meldet. Doch im Fall von OpenSSL hat dieses Prinzip versagt – der Bug wurde von der Sicherheitsfirma Codenomicon und einem Google-Forscher entdeckt.

Elf Entwickler beschäftigen sich mit OpenSSL, nur einer von ihnen wird als Vollzeitkraft bezahlt. Das Projekt lebt größtenteils von Spenden, die z.B. aus der Internet-Wirtschaft kommen. Offensichtlich reicht das Geld nicht aus, um die zusätzlichen, benötigten Kontrollen zu finanzieren.

Was man aus dem Heartbleed-Desaster lernen kann: Open Source benötigt mehr Geld. Produkte wie OpenSSL sind zu wichtig, als dass man sie allein auf freiwilliger Basis weiterentwickeln könnte. Es müssen professionelle Strukturen geschaffen und Verantwortliche gesucht werden, die für ihre Arbeit auch bezahlt werden. Das kostet Geld.

Gefordert sind bei der Finanzierung vor allem solche Unternehmen, die freie Software bisher gerne als kostensparende Maßnahme verwendet, den dahinter stehenden Entwicklern und Projekten im Gegenzug jedoch nie einen Cent überwiesen haben.

So hätte der Heartbleed-Bug zumindest ein Gutes, wenn er nämlich bei den Anwendern zu der Erkenntnis führen würde, dass Open Source zwar frei, aber nicht unbedingt kostenlos ist.

Roland-Freist.jpg

Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikations­­wissenschaft ein Volontariat beim IWT Verlag in Vater­­stetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stell­­vertretenden Chef­­redakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computer­­zeitschriften und PR-Agenturen. Seine Spezial­­gebiete sind Security, Mobile, Internet-Technologien und Netz­­werke, mit Fokus auf Endanwender und KMU.


Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de

Nützliche Links