Heartbleed – wie wir reagiert haben
Der Heartbleed-Bug ist ein schwerwiegender Programmfehler in der Verschlüsselungsbibliothek OpenSSL, der durch seine Tragweite Auswirkungen auf große Teile des Internets hat. Hintergrundinformationen zum Fehler und eine Beschreibung, welche folgen dieser hat finden Sie auf den folgenden Seiten:
- Offizielle Seite, auf der die Lücke veröffentlicht wurde
- Einfache Erklärung der Folgen (in Comic-Form)
- Ausführliche Beschreibung
Als Anfang der vergangenen Woche erste Meldungen zu Heartbleed, dem großen Programmfehler in der Verschlüsselungsbibliothek OpenSSL, auftauchten, wurde nach kurzer Analyse klar, dass es sich hier um ein ernstes Problem handelt, welches schnellst möglich behoben werden musste.
Schon in der Nacht von Montag auf Dienstag wurde daher von uns ein Testsystem mit einer aktualisierten Version der Bibliothek versehen. Da die Bibliothek an verschiedenen Stellen u.a. vom Webserver, aber auch vom Mailserver und anderen Diensten verwendet wird, war dieser Schritt zwingend notwendig um eine Fehlfunktion und damit größere Betriebsausfälle auszuschließen.
Nach erfolgreichen Tests wurden die Produktivsysteme bereits am Dienstag Vormittag aktualisiert.
Im zweiten Schritt haben wir mit den verschiedenen Zertifizierungsstellen das Vorgehen zum Austausch der potentiell kompromittierten SSL-Zertifikate besprochen. Auch wenn es unwahrscheinlich erschien, wollten wir hier auf Nummer Sicher gehen und für unsere Kunden eine größtmögliche Sicherheit gewährleisten. Zum Ende der Woche waren somit alle Zertifikate ausgetauscht, welche wir für unsere Kunden verwalten. Die alten Zertifikate wurden daraufhin zurückgezogen und haben damit ihre Gültigkeit verloren.
Natürlich kann niemand genau sagen, welche Daten bislang möglicherweise bereits gestohlen wurden. Insbesondere mit Hinblick auf Gerüchte, denen zufolge Geheimdienste diese Lücke schon seit langem kannten und ausnutzten. Wir haben daher alle Kunden gesondert informiert und empfohlen Passwörter zur Sicherheit zu ändern.