"Heartbleed"-Lücke: BSI sieht Gefahr noch nicht gebannt
Von der am 7. April bekanntgewordenen Sicherheitslücke in der Open-SSL-Bibliothek, die auch als "Heartbleed-Bug" bezeichnet wird, droht immer noch Gefahr. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht laut einer am Mittwoch veröffentlichten Erklärung "weiteren Handlungsbedarf". Durch Sicherheitsupdates sei die Schwachstelle zwar insbesondere bei vielen Webservern geschlossen worden und auch die Zertifikate wurden von den Betreibern entsprechend erneuert. Doch viele Webseiten von kleineren Online-Shops oder Vereinen seien noch für "Heartbleed"-Angriffe anfällig.
Es solle überprüft werden, ob auf den Servern eine verwundbare OpenSSL-Version eingesetzt werde. Dieser Rat gelte auch beispielsweise für Firewalls. Die Analyse-Software OpenVas (Open Vulnerability Assessment System) könne Anwendungen auf eine Gefährdung durch die "Heartbleed"-Lücke überprüfen. SSL-Zertifkate von Servern, die verwundbar waren, sollten nach Angaben des BSI sicherheitshalber ausgetauscht werden.
E-Mail-Server im Fokus von Angreifern
Das BSI registriere weiterhin großflächige Scans nach für "Heartbleed" verwundbaren Servern. Inzwischen würde der Fokus hier vor allem auf anfällige E-Mail-Server gelegt, da viele Betreiber zunächst ihre Webserver aktualisiert hätten. Das Bundesamt empfiehlt aktuell sowohl E-Mail-Server, Server für Video- und Telefonkonferenzen als auch weitere von außen erreichbare Server zu untersuchen.Es solle überprüft werden, ob auf den Servern eine verwundbare OpenSSL-Version eingesetzt werde. Dieser Rat gelte auch beispielsweise für Firewalls. Die Analyse-Software OpenVas (Open Vulnerability Assessment System) könne Anwendungen auf eine Gefährdung durch die "Heartbleed"-Lücke überprüfen. SSL-Zertifkate von Servern, die verwundbar waren, sollten nach Angaben des BSI sicherheitshalber ausgetauscht werden.