AA

"Heartbleed"-Problembehebung mangelhaft in Österreich

"Heartbleed": Mangelhafte Problembehebung in Österreich
"Heartbleed": Mangelhafte Problembehebung in Österreich ©APA/DPA/Oliver Berg (Sujet)
In Österreich wurde die Schwachstelle bei der Verschlüsselungs-Software OpenSSL bisher in einigen Fällen unzureichend behoben. "Heartbleed"-Betroffene haben zu 65 Prozent die SSL-Zertifikate nicht aktualisiert, sechs Prozent überhaupt falsche Maßnahmen ergriffen.
Heimische Server betroffen
Passwort ändern

Das ist das Ergebnis einer Analyse des österreichischen COMET-Kompetenzzentrums SBA Research. “SBA Research empfiehlt allen von Heartbleed betroffenen Administratoren die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials”, hieß es am Freitag in einer Aussendung von SBA Research.

Mangelhafte “Heartbleed”-Problembehebung

Man hätte eine Analyse über die Behebung der Schwachstelle durchgeführt. Dabei sei es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft, erklärte man.Als Basis für die Studie wurden jene IP-Adressen/Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet hatten und für die “Heartbleed“-Schwachstelle anfällig waren.

Es seien mehr als 5.600 IP-Adressen gewesen. Aussortiert wurden jene, die nicht mehr erreichbar waren. Weiters wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Am Ende blieben 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

“Heartbleed”-Lücke

Dabei wurde festgestellt, dass 328 IP-Adressen die SSL-Zertifikate gar nicht oder ohne Neugenerierung des Kryptografischen Schlüssel (30 IP-Adresse oder sechs Prozent) aktualisiert hatten. Von jenen 35 Prozent, welche das Zertifikat erneuert hatten, hatte etwa jeder fünfte Administrator falsche Maßnahmen getroffen, hieß es in der Aussendung. Das bedeute konkret, dass zwar ein neues SSL-Zertifikat erstellt worden war, jedoch das alte Schlüsselpaar wiederverwendet wurde. Da die “Heartbleed”-Lücke ein Auslesen des privaten Schlüssels ermögliche, sei es unerlässlich, auch das Schlüsselpaar neu zu generieren

(APA)

home button iconCreated with Sketch. zurück zur Startseite
  • VOL.AT
  • Technik News
  • "Heartbleed"-Problembehebung mangelhaft in Österreich