OpenSSL-Bug

Unter dem Namen “Heartbleed” ist in der Nacht von Montag zu Dienstag dieser Woche ein Fehler in der freien Software “OpenSSL” bekannt geworden, der sehr weitreichende Folgen für alle Internet-Nutzer hat. Heise Online schreibt dazu:

Die weit verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen. Krypto-Guru Bruce Schneier stuft den Fehler als “Katastrophe” ein: “Auf einer Skala von 0 bis 10 ist das eine 11”.

Betroffen sind zahlreiche Dienste im Internet, die diese Software einsetzen – von Facebook, über Dropbox bis zu Yahoo und Google. Aktuelle Informationen und eine umfangreiche Erklärung des Fehlers finden Sie unter http://www.heise.de/thema/Heartbleed. Eine aktuelle Liste großer betroffener Dienste finden Sie hier.

Wie sind Variomedia-Kunden betroffen?

Es gibt zwei Ebenen, auf denen SSL und der Heartbleed-Bug bei uns eine Rolle spielen:

  • Kunden, die ein eigenes SSL-Zertifikat für die verschlüsselte Datenübertragung (z.B. für ihrem Online-Shop) nutzen sind bis auf sehr wenige Ausnahmen (<1%) nicht betroffen, da wir hier eine OpenSSL-Version einsetzen, die den Fehler nicht enthält.
  • Betroffen sind allerdings alle Nutzer unserer eigenen Dienste, wie des Webmails, des Kundenmenüs, DynDNS und aller weiteren Dienste, die unter variomedia.de und securehost.de angeboten werden.

Es gibt im Moment keine Hinweise darauf, dass der OpenSSL-Fehler ausgenutzt wurde und Daten unserer Kunden missbraucht wurden – eine endgültige Sicherheit gibt es diesbezüglich jedoch nicht. Wir haben wenige Minuten nach Bekanntwerden des Bugs ein Update auf allen Servern eingespielt, das den Fehler behebt. In den letzten Tagen wurden außerdem alle SSL-Zertifikate ausgetauscht, deren Schlüssel potentiell kompromittiert gewesen sein könnten.

Was ist zu tun?

Wir empfehlen dennoch allen Kunden, alle Passwörter zu ändern, d.h. insbesondere Passwörter für:

  • Kundenmenü
  • E-Mail-Postfächer

Nicht unmittelbar betroffen sind folgende Dienste, bei denen wir dennoch die Änderung von Passwörtern empfehlen:

  • FTP/SFTP/SSH
  • MySQL (Bitte beachten Sie, dass bei einer Änderung des MySQL-Passworts auch Änderungen in Ihren Scripten erforderlich sind.)
  • DynDNS (Bitte ändern Sie die Zugangsdaten auch in Ihren Routern/DynDNS-Scripten.)

Es ist eine gute Gelegenheit, wirklich sichere Passwörter zu vergeben. Hilfreiche Tipps dazu finden Sie auf den Seiten des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Für Fragen stehen Ihnen wir Ihnen gerne zur Verfügung!