Die SSL-Sicherheitslücke “Heartbleed” stellt auch ein Jahr nach Bekanntwerden immer noch ein großes Risiko dar. Deutsche Unternehmen sind davon vergleichsweise wenig betroffen: Sie setzen im Vergleich nur wenig OpenSSL ein. Gleichzeitig setzen sie aber insgesamt immer noch zu wenig auf Verschlüsselung, wie aus einer Studie hervorgeht.
Die Mehrheit der 2000 weltweit untersuchten Unternehmen ist auch ein Jahr nach Bekanntwerden der SSL-Sicherheitslücke immer noch verwundbar. Seit August 2014 sind 76 Prozent der Global 2000-Unternehmen mit öffentlich ausgerichteten Systemen gefährdet, da sie ihre Korrekturen nicht abgeschlossen haben. Im April 2015 liegt diese Zahl fast unverändert bei 74 Prozent.
Das stellte eine Studie des Ponemon Instituts im Auftrag von Venafi fest. Danach sind 84 Prozent der externen Server der Global 2000-Unternehmen weiterhin für Hackerangriffe durch Heartbleed anfällig. Zwar haben deutsche Unternehmen im internationalen Vergleich stärker und besser auf Heartbleed reagiert, doch sie setzen weniger Zertifikate, weniger Schlüssel und auch weniger Verschlüsselung ein als Unternehmen in anderen EU-Ländern und den USA.
Auch die Enthüllung der massiven Überwachung durch die NSA hat daran offenbar nichts geändert. So geht aus der Studie hervor, dass deutsche Sicherheitsexperten mehr über eingesetzte Schlüssel und Zertifikate wissen, als ihre Pendants in anderen Ländern. Mehr darüber zu wissen und weniger davon zu haben, meint hier, dass in den Unternehmen mit großer Wahrscheinlichkeit auch komplett gepatcht wurde. Venafis Analyse zeigt auf, dass das Eindämmen der Heartbleed-Probleme schwieriger wird, je mehr Schlüssel und Zertifikate ein Unternehmen nutzt. Denn der Austausch aller Schlüssel und Zertifikate sei zeitaufwändig.
Aber auch deutsche Unternehmen sind nicht auf der ganz sicheren Seite, da sie das Problem oft nicht komplett behoben hätten: Von 40 untersuchten deutschen Firmen hatten 17 (42 Prozent) nicht vollständig auf die Sicherheitslücke Heartbleed reagiert, während 23 (58 Prozent) vollständig reagiert haben. Letzteres erfordert auch das Erzeugen neuer Schlüssel für SSL/TLS, Einsatz neuer Zertifikate und das Erneuern nicht abgelaufener Zertifikate. Auch müssen alle Server doppelt überprüft werden, um sicherzustellen, dass sie mit neuen Schlüsseln und Zertifikaten laufen. Oftmals übersähen Admins einzelne Keys und Zertifikate, wodurch die Organisation angreifbar bleibt.
Die komplette Studie findet sich unter https://www.venafi.com/HeartsBleed/
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: TechNet Blog Deutschland : sicherheit