Bereits am Dienstag den 08. April 2014 wurde eine Sicherheitslücke in OpenSSL bekannt, welche gravierende Auswirkungen auf die Sicherheit im gesamten Internet hat und noch weiter haben wird.
OpenSSL ist die Software-Bibliothek, die für einen sicheren Transport der Daten verantwortlich ist. Unter anderem HTTP, IMAP, POP3, SMTP und ähnliche Protokolle können damit abgesichert werden, sodass Dritten das Mitlesen der Verbindung zwar weiterhin möglich sein darf – der Inhalt dieser Verbindung ist aber dennoch nur den beiden beteiligten Kommunikationspartnern (Webbrowser/Mail-Client sowie dem jeweiligen Server) bekannt. Durch die Sicherheitslücke in OpenSSL war es jedoch möglich, Daten aus dem Arbeitsspeicher des Servers auszulesen, wodurch unter anderem der private Schlüssel abgegriffen werden kann. Dies bedeutet wiederrum, dass die gesamte bisher verschlüsselte Kommunikation theoretisch dekodiert werden kann.
Die genauen Details finden Sie bei den bekannten Portalen besser und detaillierter erläutert:
Für Sie als Kunden bedeutet die Sicherheitslücke konkret:
- Theoretisch ist es möglich, dass trotz aktiver SSL-Verschlüsselung Daten beispielsweise beim E-Mail-Verkehr oder den HTTPS-Webseiten (Bestellvorgänge in Webshops, RoundCube-Webmail) mitgeschnitten wurden und nun u.U. dekodiert werden könnten.
- Wir haben bereits am Dienstag gegen 10:00 Uhr die Lücke auf allen Systemen geschlossen: seit diesem Zeitpunkt ist es nicht mehr möglich, die Sicherheitslücke in OpenSSL auf unseren Servern auszunutzen und so private Daten aus dem Arbeitsspeicher der Server auszulesen.
- Da nicht auszuschließen ist, dass zwischen 2012 und dem Bekanntwerden der Lücke nicht doch bereits Daten ausgelesen wurden, werden wir im Laufe der nächsten Tage alle SSL-Zertifikate austauschen, die direkt bei uns erworben wurden. Dies betrifft nicht nur die öffentlichen SSL-Zertifikate, sondern eben auch die privaten bzw. geheimen Privaten Schlüssel (Private Keys).
- Beim Tausch der SSL-Zertifikate, die bei uns gekauft werden, fallen weder für Sie noch für uns Kosten an: die Zertifizierungsstellen nehmen den Tausch der Zertifikate bei Übernahme der Laufzeit kostenfrei vor.
- Wir sind beim Tausch auf die Arbeitszeiten unseres Lieferanten angewiesen, sodass der Tausch aller Zertifikate einige Tage in Anspruch nehmen wird.
- Mit dem Tausch der Zertifikate müssen wir davon ausgehen, dass die Kommunikation dann wieder vollständig geschützt ist. Weitere Sicherheitslücken in OpenSSL oder ähnlichen Libraries können natürlich nie vollkommen ausgeschlossen werden. Es werden allerdings derzeit Prozesse angestoßen, die solch gravierende Lücken zukünftig vermeiden sollen.
Eine akute Gefahr für unsere Serversysteme ist nicht gegeben.
Gerne steht Ihnen unser Support bei allen Fragen und Problemen zu OpenSSL oder der Heartbleed-Lücke zur Verfügung.
