Kommentar
Und das Herz blutet noch immer: Verschlüsselung muss endlich sicher werden
Heartbleed – immer noch 200.000 Systeme verwundbar
Vor etwas mehr als drei Jahren entdeckten Sicherheitsforscher erstmals die SSL-Schwachstelle Heartbleed. Die Lücke ermöglicht Cyber-Kriminellen, verschlüsselte Kommunikation mitzulesen oder Login-Daten und private Schlüssel abzufangen. Obwohl der wunde Punkt bereits seit einiger Zeit bekannt ist, wurden längst nicht alle Systeme entsprechend gepacht.
Laut John Matherly, dem Chef der Schwachstellen-Suchmaschine Shodan, existierten im Januar dieses Jahres immer noch knapp 200.000 öffentlich im Internet zugängliche Systeme, bei denen es die Administratoren scheinbar nicht für nötig hielten oder schlichtweg vergessen haben, die Heartbleed-Schwachstelle mithilfe von Sicherheitsupdates zu beseitigen. Allerdings lösen entsprechende Patches das Problem nicht von allein. Für eine sichere HTTPS-Verschlüsselung braucht es zwei Komponenten: Einen öffentlichen und einen privaten Schlüssel. Das Zertifikat für eine Webseite auszutauschen, ist ein erster Schritt gegen Heartbleed vorzugehen, reicht aber allein noch nicht aus. Der private Schlüssel sollte ebenfalls gewechselt werden.
Die Marktforscher von Gartner sprechen in diesem Fall die klare Empfehlung aus: „Da die Attacke die Möglichkeit bietet, den privaten Schlüssel selbst wiederherzustellen, wird Sie ein Zertifikatswechsel alleine nicht schützen! Es gilt, neue, private Schlüssel zu generieren .“ Privater Schlüsselverlust ist ein eindeutiges Anzeichen für fehlerhaftes oder fehlendes Konfigurations-Management, allerdings auch Zeugnis von falschem Schlüsselmanagement und unzureichendem Schutz der Schlüssel. Ebenso wichtig wie die Korrektur der fehlerhaften Konfiguration und das Zurückziehen aller möglicherweise komprimierten Zertifikate ist der Austausch der privaten Schlüssel.
Um die Heartbleed-Lücke endgültig zu schließen sollten IT-Sicherheitsverantwortliche eine Reihe von insgesamt vier Maßnahmen einleiten:
- Herausfinden, wo sich alle Schlüssel und Zertifikate befinden
- Neue Schlüssel und Zertifikate generieren
- Neue Schlüssel und Zertifikate einsetzen, alte widerrufen
- Die vorherigen Schritte überprüfen, um sicherzustellen, dass neue Zertifikate und Schlüssel vorhanden sind
Im ersten Moment klingen diese Handlungsempfehlungen nicht unbedingt kompliziert. Trotzdem kämpfen viele Unternehmen mit ihrer Umsetzung. Oft fehlt ihnen die Kontrolle und Möglichkeiten zum schnellen und einfachen Austausch von Schlüsseln und Zertifikaten, weil sie gar keine Übersicht darüber haben, wie viele Zertifikate und Schlüssel sie wo im Einsatz haben. In diesem Fall stehen Venafi IT-Sicherheitsteams mit zwei Lösungen zur Seite. TrustAuthority bietet eine Übersicht über alle eingesetzten Schlüssel und Zertifikate, welche Anwendungen diese nutzen und welche Zertifizierungsstelle sie ausgestellt hat. Zusammen mit TrustForce ermöglicht das Tool, mithilfe eines Klicks Schlüssel und Zertifikate auszutauschen, neue Versionen sicher auszuliefern und zu installieren.
Dann endlich hört das Herz auch auf zu bluten.
