<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

10.04.14Kommentieren

"Heartbleed": OpenSSL-Lücke ist Stresstest für Internetdienste und Startups

Während Anwender im Bezug auf die hochkritische Sicherheitslücke bei der von vielen Webservices genutzten Verschlüsselungssoftware OpenSSL relativ wenig tun können, gehen viele Dienstebetreiber und Startups sowie ihre Teams bis an Äußerste ihrer Kräfte.

Stresstest

Wer bei Onlinediensten tätige IT-Chefs, Systemadministratoren, Sicherheitsexperten oder andere mit den technischen Abläufen befasste Personen im Bekanntenkreis hat, sollte sich in dieser Woche nicht über deren Augenringe wundern. Aufgrund der hochkritischen, "Heartbleed" getauften Sicherheitslücke in der verbreiteten Verschlüsselungssoftware OpenSSL werden viele von ihnen übermäßig viel gearbeitet und wenig geschlafen haben. Denn der "größte anzunehmende Unfall für die Verschlüsselungssoftware" (heise) erfordert das Update der Software, den Austauch von Zertifikaten, die Durchführung vertrauensfördernder Kontroll- und Sicherheitsroutinen sowie die Suche nach eventuellen Spuren, die über den OpenSSL-Bug informierte Eindringlinge hinterlassen haben könnten (wobei deren Nicht-Existenz laut Medienberichten keinesfalls eine Garantie darstellt, dass es nicht zu einem Angriff kam).

Anwender von Webdiensten dürfen in den nächsten Tagen mit der ein oder anderen Mail rechnen, in der Services sie über durchgeführte Maßnahmen zur Absicherung der verschlüsselten SSL-Verbindungen informieren und ihnen die Änderung des Passworts nahelegen. User müssen sich außerdem darauf einstellen, dass das automatische Einloggen bei häufig verwendeten Angeboten plötzlich nicht mehr funktioniert und sie nach Wochen oder gar Monaten erstmalig zur Eingabe ihrer Benutzerdaten aufgefordert werden.

SoundCloud und Wunderlist reagieren schnell

SoundCloud ist einer der ersten großen deutschen Onlineservices, der einen Zwangs-Logout für alle Mitglieder ankündigt. Dieser Schritt sei notwendig, um die OpenSSL-Patches zu aktivieren. Erst danach ist ein Wechsel des Passworts sinnvoll. Die Berliner empfehlen einen solchen Schritt, auch wenn sie betonen, dass sie keine Anzeichen für Datendiebstähle besitzen. Aber das heißt wie erwähnt wenig.

Auch bei SoundCloud-Nachbar Wunderlist reagierte man schnell, wie der Dienst gestern per Blogeintrag und Mail an alle Nutzer erläuterte: Zuerst habe man alle Synchronisationsservices abgeschaltet, wodurch jeglicher Datenaustausch zwischen Clients und Wunderlist-Servern unterbunden wurde. Mit anderen Worten: Wunderlist war temporär offline. Parallel wurden das die Lücke eliminierende OpenSSL-Update sowie eine Erneuerung der SSL-Zertifikate durchgeführt. Anschließend erzwangen die Hauptstädter für alle Mitglieder einen Logout. Wer Wunderlist das nächste Mal öffnet, wird daher die Zugangsdaten neu eingeben müssen. Mit Nachdruck rät der Aufgabenmanger seinen Usern, abschließend ihr Passwort zu ändern. In einem lesenswerten persönlichen Blogpost schildert Wunderlist-Softwareentwickler James Duncan Davidson einen stressvollen Arbeitstag, an dem er und seine Kollegen die Gefahr durch eine der "gefährlichsten Sicherheitslücken seit langem" bannen mussten.

User können nicht viel machen

Für User ist der Handlungsspielraum einigermaßen begrenzt. Sofern sie das konsequente Fernhalten von sämtlichen kritischen Diensten für die nächsten Tage, das hie und da propagiert wird, nicht als praktikabel empfinden, können sie vor der Nutzung eines Dienstes zumindest testen, ob dieser von der Sicherheitslücke betroffen ist, sowie bei sämtlichen Services, die alle notwendigen Gegemaßnahmen ergriffen haben, ihre Passwörter ändern. Ganz besonders gilt dies freilich für diejenigen, die das selbe Passwort bei verschiedenen Anbieter verwenden. Wer den Passwort-Manager LastPass einsetzt, der kann auf eine praktische Übersicht des Sicherheitsstatus der damit verwalteten Konten zugreifen.

Erheblich mehr zu tun als für Anwender gibt es in der Sache für alle Server- und Dienstebetreiber, zumal die langfristigen Folgen, die sich etwa aus der möglichen Kompromittierung von sensiblen Daten ergeben, noch überhaupt nicht absehbar sind. Ein Aufatmen wird es bei Twitter und Facebook gegeben haben - die zwei Firmen waren, wie hier beschrieben, nicht von dem OpenSSL-Bug betroffen.

Der Spaß am Internet der Dinge vergeht

Wenn eine als ausgesprochen sicher und branchenweit angesehene Software zur Verschlüsselung sich plötzlich als löchrig wie ein Schweizer Käse erweist, dann wirft dies natürlich auch Fragen genereller Natur auf. Es fällt schwer, dem Pessimismus von Dave Winer, einem Urgestein der Entwicklerszene des Silicon Valley, zu widersprechen: "Heute, 2014, ist unser gesamtes Finanzsystem durch ein kompromittiertes System angreifbar. Das ist schlimm genug. Aber was passiert, wenn unsere Körper mit dem Internet verbunden sind? Und unsere Autos, Häuser, einfach alles? Es klingt toll, wenn alles reibungslos funktioniert. Wer aber nur ein wenig von Software und Netzwerken versteht, weiß, dass das ein naiver Traum ist", so Winer.

Fragt sich eigentlich, wieso die gesamte Branche mit ihren Produkten und strategischen Entscheidungen dennoch suggeriert, dass dies möglich sei. /mw

Foto: Concept of stress with businessman sleeping on a laptop, Shutterstock

Kommentare

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer