Heartbleed: Österreich hinkt hinterher

Mangelhafte Problembehebung

Heartbleed: Österreich hinkt hinterher

In Österreich wurde die Schwachstelle bei der Verschlüsselungs-Software OpenSSL bisher in vielen Fällen unzureichend behoben. "Heartbleed"-Betroffene haben zu 65 Prozent die SSL-Zertifikate nicht aktualisiert, sechs Prozent überhaupt falsche Maßnahmen ergriffen. Das ist das Ergebnis einer Analyse des österreichischen COMET-Kompetenzzentrums SBA Research.

Empfehlung
"SBA Research empfiehlt allen von Heartbleed betroffenen Administratoren die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials", hieß es am Freitag in einer Aussendung von SBA Research. Man hätte eine Analyse über die Behebung der Schwachstelle durchgeführt. Dabei sei es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft, erklärte man.

Heartbleed-Grafik-SBA-Resea.jpg © SBA Research

Als Basis für die Studie wurden jene IP-Adressen/Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet hatten und für die "Heartbleed"-Schwachstelle anfällig waren. Es seien mehr als 5.600 IP-Adressen gewesen. Aussortiert wurden jene, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Am Ende blieben 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

Falsche Maßnahmen

Dabei wurde festgestellt, dass 328 IP-Adressen die SSL-Zertifikate gar nicht oder ohne Neugenerierung des Kryptografischen Schlüssel (30 IP-Adresse oder sechs Prozent) aktualisiert hatten. Von jenen 35 Prozent, welche das Zertifikat erneuert hatten, hatte etwa jeder fünfte Administrator falsche Maßnahmen getroffen, hieß es in der Aussendung. Das bedeute konkret, dass zwar ein neues SSL-Zertifikat erstellt worden war, jedoch das alte Schlüsselpaar wiederverwendet wurde. Da die "Heartbleed"-Lücke ein Auslesen des privaten Schlüssels ermögliche, sei es unerlässlich, auch das Schlüsselpaar neu zu generieren.

>>>Nachlesen: Heartbleed - Prüfen Sie Ihre Sicherheit

Diashow Tools zur Kontrolle der Heartbleed-Lücke

Kontroll-Seite

Auf der Internetseite "http://filippo.io/Heartbleed/" kann man die Sicherheit von Ineternetdiensten prüfen. Man muss nur in dem Feld die URL eingeben - wir haben als Beispiel Facebook genommen - und dann auf Go klicken.

Kontroll-Seite

Kurze Zeit später erscheint das Ergebnis. Facebook hat die Lücke mittlerweile geschlossen. Mitglieder müssen jetzt nur noch ein neues Passwort wählen und sind wieder sicher.

Kontroll-App

Die Gratis-App Heartbleed Detector zeigt an, ob und in welchem Umfang Ihr Android-Smartphone von der Lücke betroffen ist.

1 / 3

Diesen Artikel teilen:

Posten Sie Ihre Meinung

Kommentare ausblenden

Anzeigen

Werbung

Jetzt Live
Diese Videos könnten Sie auch interessieren
Wiederholen
Jetzt NEU

oe24.TV im Livestream: 24 Stunden News!

Live auf oe24.TV 1 / 10

Top Gelesen 1 / 5

Diese Website verwendet Cookies
Cookies dienen der Benutzerführung und der Webanalyse und helfen dabei, die Funktionalität der Website zu verbessern, um Ihnen den bestmöglichen Service zu bieten. Nähere Informationen finden Sie in unserer Datenschutzerklärung.
Impressum  
Es gibt neue Nachrichten