Die Melde- und Analysestelle Informationssicherung, Melani, hat sich zu einer Sicherheitslücke in OpenSSL 1.0.1 und 1.0.2 Beta geäussert, über die Angreifer Zugang zum Speicher eines Servers und somit Nutzerdaten wie Passwörter erlangen können. Betroffen sind unter anderem Mail Provider und Finanzinstitute sowie Webshops oder Krankenkassenportale und Webportale, die über ein verschlüsseltes Login verfügen. Daneben sind aber auch Browser-basierte, verschlüsselte Dienste wie Smartphone-Apps, Chat- und Streaming-Dienste sowie Coud-Speicher und VPN-Zugänge nicht vor dem Sicherheitsleck gefeit, wie Melani warnt.
Aus diesem Grund rät Melani Service Providern, das entsprechende Update innerhalb der nächsten 24 bis 48 Stunden zu installieren und bei heiklen Diensten zusätzlich die Zertifikate und Zugangsdaten auszuwechseln. Zudem empfiehlt Melani, Dienste wenn irgendwie möglich vorübergehend einzustellen. Ausserdem könne das Sicherheitsproblem umgangen werden, indem ein Grossteil des betroffenen Netzverkehrs über zentrale Access-Systeme geleitet wird. Auch müsse beim Einsatz neuer Software-Versionen die Unterstützung von Perfect Forward Secrecy sichergestellt werden, da ohne diese Angreifer in der Lage sind, aufgezeichneten Traffic auch zu einem späteren Zeitpunkt zu entschlüsseln.
Für die Endbenutzer sei es derweil schwieriger, sich zu schützen. Eine Variante sei, sämtliche Passwörter für die betroffenen Dienste nach der Schliessung der Sicherheitslücke zu ändern. Zudem sollen NAS-Speicher und Router mit Sicherheitsaktualisierungen geschützt werden.
(af)