Studie zur OpenSSL-Sicherheitslücke

Heartbleed bedroht Unternehmen auch 2015

Florian Maier beschäftigt sich in erster Linie mit dem Themenbereich IT-Security. Daneben schreibt er auch über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C und ist für den Facebook-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Laut einer neuen Studie der Venafi Labs sind weltweit immer noch rund 2000 Unternehmen anfällig für Cyber-Attacken durch die OpenSSL-Sicherheitslücke Heartbleed.

Der Grund dafür, dass vielen Unternehmen auch noch rund einem Jahr nach der Entdeckung der Heartbleed-Sicherheitslücke massiver Schaden durch Cyber-Kriminelle droht, liegt laut der Venafi Labs-Studie darin dass viele Unternehmen nur unzureichend versucht haben, die Schwachstelle zu beseitigen. Im April 2015 sollen demnach immer noch 74 Prozent der "Global 2000"-Unternehmen mit öffentlich ausgerichteten Systemen gefährdet sein, weil die Korrekturen an ihrer Netzwerkumgebung nicht vollständig abgeschlossen wurden.

Die OpenSSL-Sicherheitslücke Heartbleed sorgte im vergangenen Jahr für Schlagzeilen. Ein Jahr später sind laut einer neuen Studie der Venafi Labs immer noch viele Unternehmen bedroht.
Die OpenSSL-Sicherheitslücke Heartbleed sorgte im vergangenen Jahr für Schlagzeilen. Ein Jahr später sind laut einer neuen Studie der Venafi Labs immer noch viele Unternehmen bedroht.
Foto: Codenomicon

SSL-Sicherheitslücke sorgt für Schlagzeilen

Der CEO von Venafi, Jeff Hudson, findet für das ernüchternde Studien-Ergebnis klare Worte: "Angesichts der Gefahr, die diese Schwachstellen für ihre Unternehmen darstellen, muss die Beseitigung von Risiken sowie die Sicherung und der Schutz von Schlüsseln und Zertifikaten eine Priorität nicht nur für das IT-Team alleine, sondern auch für den CEO, den Vorstand und CISO darstellen."

Whitepaper: Die Kosten von Datenverlusten

Die weltweit durchgeführte Ponemon-Studie "Cost of a Data Breach 2016" zeigt: Datenpannen verursachen immer höhere Ausgaben für Unternehmen. So wuchsen die Kosten, die ein Unternehmen nach jedem gestohlenen oder verlorenen Datensatz tragen muss, von 154 Dollar im Jahr 2015 auf 158 Dollar im Jahr 2016. Und ein Ende dieser Entwicklung ist nicht abzusehen. Lesen Sie in diesem Report die detaillierten und aktualisierten Ergebnisse für das Jahr 2016.

Vor fast genau einem Jahr hatte die Aufdeckung der SSL-Sicherheitslücke namens Heartbleed für Schlagzeilen gesorgt. Chinesische Cyber-Spione hatten durch die Sicherheitslücke rund 4,5 Millionen Patientenakten der Community Health Systems gestohlen. Heartbleed erlaubt es Hackern und Cyber-Kriminellen an sensible Daten wie Passwörter oder persönliche Daten zu gelangen. Insbesondere Unternehmen sollte eine konsequente Beseitigung der Schwachstelle also am Herzen liegen.

Deutsche Unternehmen vs. Heartbleed

Deutsche Unternehmen kommen bei der Venafi-Studie allerdings besser weg als der Rest. Warum, erklärt Kevin Bocek, Vice President of Security Strategy & Threat Intelligence bei Venafi: "Wir wissen aufgrund der aktuellen Ergebnisse der Studie des Ponemon Instituts, dass deutsche Sicherheitsexperten mehr über eingesetzte Schlüssel und Zertifikate wissen, als ihre Pendants in anderen Ländern." Ein weiterer wesentlicher Punkt für das konsequentere Vorgehen deutscher Unternehmen in Sachen Heartbleed sei laut Bocek aber auch, dass in Deutschland viel weniger Schlüssel und Zertifikate in Unternehmen genutzt werden als im Rest Europas und den USA. Je mehr Schlüssel und Zertifikate im Unternehmen genutzt werden, desto schwieriger sei es, Heartbleed komplett zu beheben.

Venafi Labs Security-Experte Kevin Bocek erklärt in vier Schritten, wie Unternehmen die OpenSSL-Bedrohung Heartbleed vollständig beseitigen können.
Venafi Labs Security-Experte Kevin Bocek erklärt in vier Schritten, wie Unternehmen die OpenSSL-Bedrohung Heartbleed vollständig beseitigen können.
Foto: Venafi Labs

So schützen Sie Ihr Unternehmen vor Heartbleed

Um die Heartbleed-Sicherheitslücke vollständig schließen zu können, sind laut Kevin Bocek vier Schritte notwendig.

  1. die Generierung neuer Schlüssel für SSL/TLS

  2. die Nutzung neuer Zertifikate

  3. die Erneuerung noch nicht abgelaufener Zertifikate

  4. die doppelte Überprüfung aller Server, um sicherzustellen, dass sie mit neuen Schlüsseln und Zertifikaten laufen