"Heartbleed": Mangelhafte Problembehebung in Österreich

23. Mai 2014, 12:05
14 Postings

Analyse von SBA-Research - Mehr als die Hälfte der SSL-Zertifikate nicht aktualisiert

In Österreich wurde die Schwachstelle bei der Verschlüsselungs-Software OpenSSL bisher in vielen Fällen unzureichend behoben. "Heartbleed"-Betroffene haben zu 65 Prozent die SSL-Zertifikate nicht aktualisiert, sechs Prozent überhaupt falsche Maßnahmen ergriffen. Das ist das Ergebnis einer Analyse des österreichischen COMET-Kompetenzzentrums SBA Research.

Neuausstellung des SSL-Zertifikates

"SBA Research empfiehlt allen von Heartbleed betroffenen Administratoren die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials", hieß es am Freitag in einer Aussendung von SBA Research. Man hätte eine Analyse über die Behebung der Schwachstelle durchgeführt. Dabei sei es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft, erklärte man.

HTTPS-Port (443)

Als Basis für die Studie wurden jene IP-Adressen/Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet hatten und für die "Heartbleed"-Schwachstelle anfällig waren. Es seien mehr als 5.600 IP-Adressen gewesen. Aussortiert wurden jene, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Am Ende blieben 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

Dabei wurde festgestellt, dass 328 IP-Adressen die SSL-Zertifikate gar nicht oder ohne Neugenerierung des Kryptografischen Schlüssel (30 IP-Adresse oder sechs Prozent) aktualisiert hatten. Von jenen 35 Prozent, welche das Zertifikat erneuert hatten, hatte etwa jeder fünfte Administrator falsche Maßnahmen getroffen, hieß es in der Aussendung. Das bedeute konkret, dass zwar ein neues SSL-Zertifikat erstellt worden war, jedoch das alte Schlüsselpaar wiederverwendet wurde. Da die "Heartbleed"-Lücke ein Auslesen des privaten Schlüssels ermögliche, sei es unerlässlich, auch das Schlüsselpaar neu zu generieren. (APA, 23.5. 2014)

  • Artikelbild
    sba-research
  • Artikelbild
    sba-research
Share if you care.