Heartbleed: Noch immer sind Server von der Lücke betroffen

„Es wird noch lange dauern, bis die letzten die Heartbleed-Lücke gefixt haben“, sagt Otmar Lendl, Teamleiter bei CERT.at in einem Pressegespräch am Donnerstag. „Notfalls so lange, bis die letzten Systeme kaputt sind. Das kann noch 20 Jahre dauern.“ Knapp vier Monate nach Bekanntwerden des Fehlers im Programmcode des Sicherheitsprotokolls OpenSSL ist Heartbleed daher noch immer Thema in Österreich. Auch wenn der Fehler im Programmcode eigentlich ein trivialer war, sorgte die Lücke für ein großes Sicherheitsrisiko in den Systemen. Durch gezieltes Ausnützen der Lücke war es Angreifern möglich, Passwörter und andere geschützte Informationen wie Session Cookies auszulesen.

Domain basierte Scans

CERT.at hat getestet, wie viele Systeme vom Heartbleed-Bug betroffen waren und wie rasch die Betreiber darauf reagiert haben. Die Bilanz ist im Großen und Ganzen gar nicht so schlecht, jetzt – vier Monate nach Auftauchen der Lücke – ist ein Großteil der österreichischen Server sicher.

Im Rahmen von Domain basierten Scans hat CERT.at die rund 1,2 Millionen Domains der .at-Zone auf ihre Heartbleed-Anfälligkeit in Bezug auf die Internetprotokolle https und SMTP untersucht. Das Ergebnis: Bei Betrachtung jener Server, die das Verschlüsselungsprotokoll SSL unterstützen sind mit Stand Ende Juli (31.7.2014, gemessen an den IP-Adressen), noch 1,31 Prozent der https und 1,28 Prozent der SMTP Server für Heartbleed anfällig. Dieser verbleibende Rest wird laut CERT.at voraussichtlich weiterhin anfällig für Heartbleed bleiben.

Pflicht für IT-Verantwortliche

„Heartbleed ist ein schönes Beispiel dafür, dass man als IT-Verantwortlicher die Pflicht hat, seine Systeme laufend zu pflegen und am aktuellsten Stand zu halten“, ergänzt Wolfgang Breyha, Postmaster und Hauptverantwortlicher des Mailsystems der Universität Wien. Server, die professionell gewartet werden, werden laut Lendl typischerweise sehr schnell aktualisiert. Problematisch ist es dann, wenn das Server-Geschäft nur „nebenbei“ mitläuft und die Server überhaupt nie oder nur sehr sporadisch gewartet werden. „Das macht sie vom Standpunkt der IT-Sicherheit nicht nur zu den gefährdetsten, sondern auch zu den gefährlichsten“, sagt Lendl.

Im täglichen Geschäft ist CERT.at vor allem mit infizierten PCs und schlecht gewarteten Websites beschäftigt. Auch hier gelten Hobby-Websites, deren Betrieb nur „nebenbei“ mitläuft am gefährlichsten. „Der Schaden für den Einzelnen hält sich zwar in Grenzen, aber solche Websites können von Dritten als Werkzeug zu Angriffen verwendet werden“, erklärt Lendl.

Beispiel für Gefahr

Breyha von der Uni Wien dazu: „Auch E-Mails können zur Waffe werden, die international eingesetzt werden, um Spam zu verbreiten. Da hat auch der Einzelne keinen Schaden, jedoch führt der eine kompromittierte Account zu Problemen bei allen anderen Accounts dieses Anbieters.“ An der Uni Wien würden etwa 20 bis 50 Accounts pro Monat aufgrund von „Abwehrmaßnahmen gegen Spam“ gesperrt. Zum Größenvergleich: Bei der Uni Wien gibt es etwa 100.000 Mail-Accounts, davon gehören rund 90.000 Studenten und rund 10.000 Angestellten. „Ohne entsprechende Maßnahmen würde es schlecht ausschauen. Dann würden auch sämtliche andere Mails vom Uni-Server von anderen Diensten geblockt.“