Heartbleed: Österreich hinkt hinterher

Mangelhafte Problembehebung

Heartbleed: Österreich hinkt hinterher

Bei uns wurden mehr als die Hälfte der SSL-Zertifikate nicht aktualisiert.

In Österreich wurde die Schwachstelle bei der Verschlüsselungs-Software OpenSSL bisher in vielen Fällen unzureichend behoben. " Heartbleed "-Betroffene haben zu 65 Prozent die SSL-Zertifikate nicht aktualisiert, sechs Prozent überhaupt falsche Maßnahmen ergriffen. Das ist das Ergebnis einer Analyse des österreichischen COMET-Kompetenzzentrums SBA Research.

Empfehlung
"SBA Research empfiehlt allen von Heartbleed betroffenen Administratoren die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials", hieß es am Freitag in einer Aussendung von SBA Research. Man hätte eine Analyse über die Behebung der Schwachstelle durchgeführt. Dabei sei es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft, erklärte man.

© SBA Research


Als Basis für die Studie wurden jene IP-Adressen/Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet hatten und für die "Heartbleed"-Schwachstelle anfällig waren. Es seien mehr als 5.600 IP-Adressen gewesen. Aussortiert wurden jene, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Am Ende blieben 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

Falsche Maßnahmen

Dabei wurde festgestellt, dass 328 IP-Adressen die SSL-Zertifikate gar nicht oder ohne Neugenerierung des Kryptografischen Schlüssel (30 IP-Adresse oder sechs Prozent) aktualisiert hatten. Von jenen 35 Prozent, welche das Zertifikat erneuert hatten, hatte etwa jeder fünfte Administrator falsche Maßnahmen getroffen, hieß es in der Aussendung. Das bedeute konkret, dass zwar ein neues SSL-Zertifikat erstellt worden war, jedoch das alte Schlüsselpaar wiederverwendet wurde. Da die "Heartbleed"-Lücke ein Auslesen des privaten Schlüssels ermögliche, sei es unerlässlich, auch das Schlüsselpaar neu zu generieren.

>>>Nachlesen: Heartbleed - Prüfen Sie Ihre Sicherheit

Diashow: Tools zur Kontrolle der Heartbleed-Lücke

1/3
Kontroll-App
Kontroll-Seite

Auf der Internetseite "http://filippo.io/Heartbleed/" kann man die Sicherheit von Ineternetdiensten prüfen. Man muss nur in dem Feld die URL eingeben - wir haben als Beispiel Facebook genommen - und dann auf Go klicken.

2/3
Kontroll-App
Kontroll-Seite

Kurze Zeit später erscheint das Ergebnis. Facebook hat die Lücke mittlerweile geschlossen. Mitglieder müssen jetzt nur noch ein neues Passwort wählen und sind wieder sicher.

3/3
Kontroll-App
Kontroll-App

Die Gratis-App Heartbleed Detector zeigt an, ob und in welchem Umfang Ihr Android-Smartphone von der Lücke betroffen ist.

Diese Website verwendet Cookies

Cookies dienen der Benutzerführung und der Webanalyse und helfen dabei, die Funktionalität der Website zu verbessern, um Ihnen den bestmöglichen Service zu bieten. Nähere Informationen finden Sie in unserer   Datenschutzerklärung .
OE24 Logo
Es gibt neue Nachrichten