SSL-Sicherheitslücke - Reaktionen von Hostern und Dienstleistern

Hi.

Momentan geht ja die sogenannte Heartbleed SSL-Sicherheitsheitslücke durch die Medien und ruft verschiedenste Reaktionen bei Dienstleistern und Endkunden hervor. Was habt ihr persönlich davon mitbekommen und wie empfindet ihr die Situation? Wie schätzt ihr die Gefahr durch die Sicherheitslücke ein, die immerhin zwei Jahre unbemerkt gelieben ist? Und wie habt ihr auf die Medienwelle reagiert?

Ich persönlich habe meinen Kunden eine Warn-Rundmail geschrieben, um sie über die Sicherheitslücke aufzuklären, gleichzeitig aber auch darüber zu informieren, dass diese bereits geschlossen wurde. Viel Kunden werden wahrscheinlich gar nicht mitbekommen haben, dass es überhaupt eine Lücke gab, ich sehe es dennoch als meine Pflicht, sie darüber aufzuklären. Wie seht ihr das?

MfG Olaf.

 

Das Thema Heartbleed dürfte kaum einem Kunden verborgen geblieben sein, schliesslich geisterte es tagelang durch die Tagespresse.
Nachdem wir unsereWebhosting-Server aktualiert und rebootet hatten, haben wir in einer Rundmail sämtliche Kunden angeschrieben und sicherheitshalber alle SSL-Zertifikate nach Neuerstellung der jeweiligen Keys neu ausgestellt, sowie die bisherigen Zertifikate sperren lassen.

Inwiefern die Sicherheitslücke von wem auch immer ausgenutzt wurde, entzieht sich meiner Kenntnis.

LG

Thomas

 

Hallo.

Ich habe gelesen, dass momentan eigentlich noch niemand genau sagen kann, welche Konsequenzen die Heartbleed Sicherheitslücke hat, weil sie eben über gut 2 Jahre bestand und niemand weiß, wer sich das Ganze in der Zeit alles zunutze gemacht hat.

Ich persönlich habe übrigens nur davon erfahren, weil ich vor eine Weile Tickets für die Fusion 2014 gekauft habe und die Organisatoren ebenfalls eine Warnmail an alle rausgeschickt haben, die einen Ticketaccount bei der Fusion besitzen. Darin stand jedoch, dass es gar nicht so einfach ist, die Lücke auszunutzen und dass man dafür schon eine, ich zitiere "priviligierte Position im Netzwerk" bräuchte, also "ein technisch versierter böser Mitbewohner, dein Provider oder die NSA". Das klingt für mich so, als wäre es unwahrscheinlich, dass jemand meine Daten ausspioniert hat und selbst wenn, zumindest dass es böse Folgen haben wird.

LG Jan

 

Hallo zusammen.

Oberflächlich habe ich zwar schon von "Heartbleed" gehört und dass es etwas mit SSL-Sicherheitszertifikaten zu tun hat. Aber ich habe bisher nicht genau verstanden, worum es bei dem Thema eigentlich geht und wen diese Sicherheitslücke eigentlich betrifft? Nur Hoster und Seitenbetreiber oder auch Endkonsumenten? Vielleicht kann mich ja jemand aufklären oder kurz zusammenfassen, was dieses Heartbleed genau ist und was es bedeutet.

Liebe Grüße,
Georg

 

Hallo Georg,
Die in der Linuxwelt verbreitete Krypto-Bibliothek OpenSSL enthielt einen Programmierfehler, der es erlaubte, von betroffenen Systemen geheime Schlüssel, Passwörter und andere Daten auszulesen.

Eine Gute Erklärung findest Du unter https://www.bsi-fuer-buerger.de/BSI...ce/Aktuell/Meldungen/Heartbleed_11042014.html.

Quelle: Heise.de + Bundesamt für Sicherheit in der Informationstechnik (BSI)

 

Guten Morgen.

Wer haftet eigentlich in diesem Fall, wenn durch diese Sicherheitslücke tatsächlich Schäden entstanden sein sollten, bzw. Passwörter ausgelesen und missbraucht wurden? Haften in diesem Fall die jeweiligen Hoster und Serveradmins oder haftet OpenSSL für Schäden, die durch den Missbrauch der Sicherheitslücke entstanden sind, bzw. noch entstehen können? Oder ist die Nutzung von Open SSL auf eigene Gefahr?

 

hierzu gibt es einen interessanten Beitrag auf http://www.golem.de/news/sicherheit...urch-heartbleed-haftbar-sein-1404-105779.html, demnach der Hoster/Serveradmin haftbar sein dürfte.

Wie willst Du allerdings beweisen, daß dein Passwort dadurch ausgelesen wurde? Ich vermute, daß hier der Beweis sehr schwer fallen dürfte.

 

Ja, leider gibt es halt doch immer einen feinen Unterschied, zwischen Recht haben und Recht bekommen. Ich habe aber an anderer Stelle auch schon darüber gelesen und da hieß es auch, dass es wohl trotz Lücke nicht ganz so einfach war, diese auch auszunutzen, beziehungsweise an die Daten tatsächlich ranzukommen. Deswegen mache ich mir deshalb jetzt erst einmal keine Sorgen. Oder gibt es bereits irgendwelche Berichte von bekannten Missbrauchsfällen oder entstandenen Schäden? Mit Letzterem meine ich jetzt nicht das reine Auslesen der Daten, sondern den Missbrauch z.B. um Konten zu räumen, etc...

 

Quelle: http://www.focus.de/digital/interne...-datendiebstahl-genutzt-haben_id_3781880.html