Studie zur OpenSSL-Sicherheitslücke

Heartbleed bedroht Unternehmen auch 2015

Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Laut einer neuen Studie der Venafi Labs sind weltweit immer noch rund 2000 Unternehmen anfällig für Cyber-Attacken durch die OpenSSL-Sicherheitslücke Heartbleed.

Der Grund dafür, dass vielen Unternehmen auch noch rund einem Jahr nach der Entdeckung der Heartbleed-Sicherheitslücke massiver Schaden durch Cyber-Kriminelle droht, liegt laut der Venafi Labs-Studie darin dass viele Unternehmen nur unzureichend versucht haben, die Schwachstelle zu beseitigen. Im April 2015 sollen demnach immer noch 74 Prozent der "Global 2000"-Unternehmen mit öffentlich ausgerichteten Systemen gefährdet sein, weil die Korrekturen an ihrer Netzwerkumgebung nicht vollständig abgeschlossen wurden.

Die OpenSSL-Sicherheitslücke Heartbleed sorgte im vergangenen Jahr für Schlagzeilen. Ein Jahr später sind laut einer neuen Studie der Venafi Labs immer noch viele Unternehmen bedroht.
Die OpenSSL-Sicherheitslücke Heartbleed sorgte im vergangenen Jahr für Schlagzeilen. Ein Jahr später sind laut einer neuen Studie der Venafi Labs immer noch viele Unternehmen bedroht.
Foto: Codenomicon

SSL-Sicherheitslücke sorgt für Schlagzeilen

Der CEO von Venafi, Jeff Hudson, findet für das ernüchternde Studien-Ergebnis klare Worte: "Angesichts der Gefahr, die diese Schwachstellen für ihre Unternehmen darstellen, muss die Beseitigung von Risiken sowie die Sicherung und der Schutz von Schlüsseln und Zertifikaten eine Priorität nicht nur für das IT-Team alleine, sondern auch für den CEO, den Vorstand und CISO darstellen."

Vor fast genau einem Jahr hatte die Aufdeckung der SSL-Sicherheitslücke namens Heartbleed für Schlagzeilen gesorgt. Chinesische Cyber-Spione hatten durch die Sicherheitslücke rund 4,5 Millionen Patientenakten der Community Health Systems gestohlen. Heartbleed erlaubt es Hackern und Cyber-Kriminellen an sensible Daten wie Passwörter oder persönliche Daten zu gelangen. Insbesondere Unternehmen sollte eine konsequente Beseitigung der Schwachstelle also am Herzen liegen.

Deutsche Unternehmen vs. Heartbleed

Deutsche Unternehmen kommen bei der Venafi-Studie allerdings besser weg als der Rest. Warum, erklärt Kevin Bocek, Vice President of Security Strategy & Threat Intelligence bei Venafi: "Wir wissen aufgrund der aktuellen Ergebnisse der Studie des Ponemon Instituts, dass deutsche Sicherheitsexperten mehr über eingesetzte Schlüssel und Zertifikate wissen, als ihre Pendants in anderen Ländern." Ein weiterer wesentlicher Punkt für das konsequentere Vorgehen deutscher Unternehmen in Sachen Heartbleed sei laut Bocek aber auch, dass in Deutschland viel weniger Schlüssel und Zertifikate in Unternehmen genutzt werden als im Rest Europas und den USA. Je mehr Schlüssel und Zertifikate im Unternehmen genutzt werden, desto schwieriger sei es, Heartbleed komplett zu beheben.

Venafi Labs Security-Experte Kevin Bocek erklärt in vier Schritten, wie Unternehmen die OpenSSL-Bedrohung Heartbleed vollständig beseitigen können.
Venafi Labs Security-Experte Kevin Bocek erklärt in vier Schritten, wie Unternehmen die OpenSSL-Bedrohung Heartbleed vollständig beseitigen können.
Foto: Venafi Labs

So schützen Sie Ihr Unternehmen vor Heartbleed

Um die Heartbleed-Sicherheitslücke vollständig schließen zu können, sind laut Kevin Bocek vier Schritte notwendig.

  1. die Generierung neuer Schlüssel für SSL/TLS

  2. die Nutzung neuer Zertifikate

  3. die Erneuerung noch nicht abgelaufener Zertifikate

  4. die doppelte Überprüfung aller Server, um sicherzustellen, dass sie mit neuen Schlüsseln und Zertifikaten laufen