Skip to content

OpenSSL Heartbleed: Sind Sie gefährdet?

More Options

Erfahren Sie, was Sache ist und was Experten Ihnen raten

OpenSSL ist eine weit verbreitete Verschlüsselungstechnologie und wird in vielen Unternehmensanwendungen und auf vielen Servern verwendet. Deshalb stellt die Sicherheitslücke OpenSSL Heartbleed ein Sicherheitsrisiko dar und ist eine Schwachstelle, die Unternehmen unbedingt ernst nehmen sollten. Als Marktführer im Bereich Sicherheit kann Trend Micro Sie dabei unterstützen, diese Schwachstelle zu verstehen und entsprechend zu handeln.


Was genau ist die Heartbleed-Sicherheitslücke und sind Sie gefährdet?

Die Heartbleed-Sicherheitslücke ist eine ernste Sicherheitslücke in der beliebten Krypto-Bibliothek OpenSSL. OpenSSL umfasst Implementierungen der SSL-/TLS-Verschlüsselungsprotokolle, die zum Datenschutz bei der Kommunikation im Internet verwendet werden. OpenSSL wird von zahlreichen Websites sowie anderen Anwendungen wie E-Mail- und Instant-Messaging-Programmen oder VPNs verwenden.

Die Heartbleed-Sicherheitslücke ermöglicht es Angreifern, unter Verwendung verschiedener OpenSSL-Versionen den Speicher von Systemen zu lesen und so Benutzernamen, Kennwörter oder sogar die vertraulichen kryptographischen Schlüssel des für SSL verwendeten Servers zu entwenden. Erlangen Cyberkriminelle Zugang zu diesen Schlüsseln, könnten Sie die gesamte Kommunikation auf diesem System überwachen und die Schwachstelle so noch weiter ausnutzen.

Wer ist von Heartbleed betroffen?

Laut Daten von Netcraft nutzen zwar 66 % aller Websites OpenSSL, davon sind jedoch nur etwa 17 % von der Heartbleed-Sicherheitslücke betroffen (Stand: 8. April 2014).

Da diese Sicherheitslücke bereits seit mindestens zwei Jahren existiert, sind Unternehmen, die in diesem Zeitraum Server mit OpenSSL (Versionen 1.0.1 bis 1.0.1f) in Betrieb genommen haben, höchstwahrscheinlich von der Heartbleed-Sicherheitslücke betroffen und sollten umgehend Gegenmaßnahmen ergreifen.

Bisher wurden keine erfolgreichen Angriffe auf die Heartbleed-Sicherheitslücke bekannt, doch das heißt noch lange nicht, dass solche Angriffe nicht stattgefunden haben. Dementsprechend mag Ihr Unternehmen zwar derzeit nicht von der Sicherheitslücke betroffen sein, dies könnte jedoch in der Vergangenheit der Fall gewesen sein. Daher sollten unbedingt Gegenmaßnahmen eingeleitet werden, wenn Sie zu einem beliebigen Zeitpunkt eine der betroffenen OpenSSL-Versionen in Betrieb hatten.

Die Verwendung von OpenSSL ist weit verbreitet, doch das Risiko durch Heartbleed wird je nach Konfiguration des Systems, auf dem OpenSSL ausgeführt wird, möglicherweise abgeschwächt.

In folgenden Fällen sind Sie nicht betroffen:

  • Wenn Sie OpenSSL nicht verwenden (es gibt Alternativen und viele Unternehmen nutzen Hardware-Sicherheitsmodule anstelle von Softwarelösungen wie SSL)
  • Wenn Sie OpenSSL ohne Heartbeat-Funktion verwenden (die Heartbeat-Funktion ist die Schwachstelle, die bei diesem Exploit ausgenutzt wird)
  • Wenn Sie OpenSSL 1.0.0 oder niedriger verwenden (der Programmierfehler, der zu der Schwachstelle führte, passierte erst im folgenden Release)
     

So prüfen Sie, ob Sie von der Heartbleed-Sicherheitslücke betroffen sind

Wenn Sie OpenSSL nutzen und unsicher sind, ob Sie betroffen sind, können Sie dies über einen öffentlich zugänglichen Sicherheitstest schnell herausfinden. Kunden von Trend Micro Deep Security for Web Apps können einen vollständigen Suchlauf auf Schwachstellen für Ihre Webanwendungen durchführen, um diese auf die Heartbleed-Sicherheitslücke zu prüfen.

Sind Trend Micro Produkte betroffen?

Trend Micro führt umfangreiche Untersuchungen durch, um festzustellen, ob seine Produkte und Services von der Heartbleed-Sicherheitslücke betroffen sind. Informieren Sie sich hier über den aktuellen Stand unserer Untersuchungen.


Was sollten betroffene Unternehmen tun?

Wenn auf Ihrem Server derzeit OpenSSL 1.0.1 bis 1.0.1f ausgeführt wird, sind Sie höchstwahrscheinlich gefährdet. Gehen Sie folgendermaßen vor:

  • Führen Sie ein Upgrade auf OpenSSL 1.0.1g oder höher durch. Sollte ein Upgrade nicht möglich sein, kann die aktuelle Bibliothek mit der Option „DOPENSSL_NO_HEARTBEATS“ neu kompiliert werden.
  • Trend Micro Deep Security Kunden können betroffene Server virtuell patchen und umgehend eine Regel zur Erkennung und Abschirmung der Schwachstelle CVE-2014-0160 in Kraft setzen (aktuelles Update DSRU 14-009 erforderlich), um Server so vor Angriffen auf diese Sicherheitslücke zu schützen. Das virtuelle Patching verschafft Ihnen die nötige Zeit, um ein Upgrade der OpenSSL-Bibliothek auf Version 1.0.1g oder höher durchzuführen und außerdem die erforderlichen Regressionstests zu absolvieren.
  • Trend Micro Deep Discovery Kunden können neue Heartbleed-Erkennungsregeln aktivieren, um sicherzustellen, dass gezielte Angriffe diese gerade öffentlich bekannt gewordene Schwachstelle nicht ausnutzen können.

Selbst wenn ein Server derzeit nicht angreifbar ist, kann es sein, dass der vertrauliche kryptographische Schlüssel für das SSL/TLS-Protokoll in der Vergangenheit entwendet wurde, wenn auf dem Server jemals OpenSSL Versionen von 1.0.1 bis 1.0.1f genutzt worden sind. Dies ist von großer Bedeutung, da der Zugriff auf den Schlüssel es dem Angreifer ermöglicht, die gesamte Serverkommunikation abzuhören, selbst wenn die OpenSSL-Bibliothek inzwischen einem Upgrade unterzogen wurde. Dementsprechend sollten Unternehmen Ihre SSL-Zertifikate mit neu generierten Schlüsseln erneut ausstellen.

  • Wenn Sie Kunde von Trend Micro Deep Security for Web Apps sind, können Sie in Minutenschnelle und völlig kostenfrei über das Selbstbedienungsportal Ihre SSL-Zertifikate mit neuen Schlüsseln erneut ausstellen lassen.
  • Andere Unternehmen sollten die Anweisungen Ihrer zuständigen Zertifizierungsstelle für die Neuverschlüsselung/Neuerstellung Ihrer Zertifikate befolgen.

Ist oder war ein System von der Sicherheitslücke betroffen, sollten Unternehmen untersuchen, welche Informationen möglicherweise entwendet wurden. In einigen Fällen, beispielsweise bei entwendeten Kennwörtern oder Kreditkartennummern, sollte das Unternehmen die Kunden über die Risiken informieren und sie auffordern, ihre Anmeldedaten zu aktualisieren.


Wie können Sie Risiken wie der Heartbleed-Sicherheitslücke gegenüber gewappnet sein?

Unzählige Unternehmen müssen außerplanmäßig tagelange Arbeit investieren, um ihre Systeme in Bezug auf diese weitverbreitete Sicherheitslücke zu testen und zu patchen. Und zweifellos gibt es noch mehr unbekannte Sicherheitslücken. Trend Micro bietet Lösungen mit einer breiten Palette an Sicherheitsfunktionen für Endpunkte und Rechenzentren, mit denen sowohl Risiken erkannt als auch Angriffe abgewehrt werden können.

Kontinuierliche Suche nach Schwachstellen. Der erste wichtige Schritt zur Beseitigung einer Sicherheitslücke wie Heartbleed ist es, sie überhaupt zu erkennen. Daher sollten Unternehmen ihre installierten Webanwendungen kontinuierlich auf die neuesten Sicherheitslücken überwachen. Trend Micro Deep Security for Web Apps bietet automatische Suche auf Anwendungs- und Plattformebene sowie Logiktests von Sicherheitsexperten. So sind Sie stets mit aussagekräftigen Informationen zu den aktuellen Sicherheitslücken versorgt.

Sofortige Neuausgabe von SSL-Zertifikaten. Die betroffenen Unternehmen müssen als Reaktion auf Heartbleed ihre SSL-Zertifikate neu zuweisen und neu ausgeben – ein zeitaufwändiger Vorgang.Mit Deep Security for Web Apps können Kunden ihre SSL-Zertifikate ganz einfach neu zuweisen und im Handumdrehen neu ausgeben. Dadurch wird die Zeit minimiert, die kritische Systeme den Sicherheitslücken ausgesetzt sind. Darüber hinaus können Kunden dank der innovativen Lizenzierung eine unbegrenzte Anzahl öffentlich gerooteter SSL-Zertifikate für ihre Server ausgeben und auch ohne zusätzliche Kosten auf sicherere Extended Validation (EV)-Zertifikate upgraden.

Sofortiges virtuelles Patching. Für Bibliotheken wie OpenSSL müssen Upgrades sorgfältig durchgeführt werden, um sicherzustellen, dass keine anderen Funktionen beeinträchtigt werden – dies erfolgt üblicherweise anhand von Regressionstests. Diese Tests sind zeitaufwändig und verlängern damit die Zeit, die die Systeme den Sicherheitslücken ausgesetzt sind. Trend Micro Deep Security bietet erweiterte Erkennung und Abwehr von Eindringlingen und ermöglicht Kunden so virtuelles Patchen von Systemen (PDF). Dadurch können Angriffe zur Ausnutzung von Sicherheitslücken sofort abgewehrt werden, ohne dass ein Update an der Serverkonfiguration nötig ist, was wiederum das allgemeine Sicherheitsrisiko sowie Beeinträchtigungen der Betriebsabläufe verringert.

Erkennung gezielter Angriffe:Mit Trend Micro Deep Discovery können Unternehmen schnell gezielte Angriffe innerhalb ihres Netzwerks erkennen. Dank der neuen Regeln zum Umgang mit der Heartbleed-Sicherheitslücke und einer branchenführenden Erkennungsrate (siehe: Trend Micro Deep Discovery erhält Top-Bewertung bei der Erkennung von Datensicherheitsverstößen in Tests von NSS Labs) können sich Kunden mit Deep Discovery vor gezielten Angriffen schützen – sowohl schon heute als auch in der Zukunft.


Das müssen Sie über Heartbleed wissen

Mark Nunnikhoven, Senior Engineer bei Trend Micro für die Bereiche Cloud & Emerging Technologies, erläutert die Herausforderungen, die Unternehmen im Zusammenhang mit OpenSSL Heartbleed bewältigen müssen, was Sie selbst tun können und wie Trend Micro Ihnen helfen kann.

Video ansehen (engl.)



Elevator Pitch - Deep Security for Web Apps

Video ansehen 

 

 

 

Lesen Sie, welche Updates die Sicherheitsexperten empfehlen

Die Sicherheitsexperten von Trend Micro versuchen, der Heartbleed-Sicherheitslücke auf die Schliche zu kommen, und teilen ihre Erkenntnisse in den folgenden Blogs. In unseren Blogs erfahren Sie die neuesten Entwicklungen.

Trend Micro Blog (Deutsch)

Security Intelligence Blog (Englisch)

Kostenfreie Heartbleed-Scanner

Um Sie beim Schutz gegen die Heartbleed-Sicherheitslücke zu unterstützen, die SSL-Sicherheitsfunktionen auf Websites in der ganzen Welt außer Kraft setzt, hat Trend Micro nun zwei kostenfreie Heartbleed-Scanner für Computer und Mobilgeräte veröffentlicht. Die Scanner sollen überprüfen, ob Sie mit Servern kommunizieren, die durch die Heartbleed-Sicherheitslücke beeinträchtigt sind.

 

Heartbleed Detector (App für Android-Geräte)

Der Heartbleed Detector von Trend Micro überprüft Ihr Android-Mobilgerät auf mögliche Sicherheitsrisiken und schützt Sie vor der Heartbleed-Sicherheitslücke.

Was genau überprüft der Heartbleed Detector auf Ihrem Mobilgerät?

  • ob Ihr Mobilgerät von der Heartbleed-Sicherheitslücke betroffen ist
  • ob Apps auf Ihren Mobilgeräten von der Heartbleed-Sicherheitslücke betroffen sind
  • ob Apps auf Ihren Mobilgeräten auf Cloud-Services zugreifen, die von der Heartbleed-Sicherheitslücke betroffen sind

 

Heartbleed Detector (Plug-in für Chrome Browser)

Der Heartbleed Detector von Trend Micro ist ein Plug-in für Chrome, das für Mac- und Windows-Computer erhältlich ist und mehrere verschiedene Plattformen unterstützt. Mit diesem Plug-in können Sie URLs auf Sicherheitslücken überprüfen.

Sie können damit ganz einfach überprüfen, ob bestimmte Websites von der Heartbleed-Sicherheitslücke betroffen sind, und so Sicherheitsrisiken vermeiden.


Soziale Medien

Folgen Sie uns auf