"Heartbleed"

Testen Sie, ob Ihr OpenSSL-Dienst sicher ist

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Die schwere Sicherheitslücke in OpenSSL trifft Web-Provider und Cloud-Services weitgehend unvorbereitet. Anwender sollten in den kommenden Tagen deshalb besonders vorsichtig sein. Wir geben Ihnen Tipps, wie Sie feststellen, ob und wie auch Sie betroffen sein können.

Der "Heartbleed"-Bug in der Krypto-Softwarebibliothek OpenSSL ist deshalb so gefährlich, weil zwei Dritter aller Web-Server (Apache, nginx) die Bibliothek einsetzen, sie überdies in E-Mail- und Messaging-Diensten und sogar Betriebssystemen werkelt.

"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
Foto: Codenomicon

Viele Server-Betreiber haben bereits reagiert und ihre OpenSSL-Installationen gepatcht. Auch bieten die meisten Linux-Distributionen inzwischen die geupdatete Version via Paketmanager an.

Einige Services sind aber nach wie vor anfällig. Wer wissen möchte, ob ein von ihm genutzter Online-Dienst noch anfällig ist, kann dies auf http://filippo.io/Heartbleed/ und http://possible.lv/tools/hb/ tun. Für Server-Betreiber steht das Heartbleed-Checker-Script auch für einen lokalen Test zur Verfügung. Weitere Testmodule sind für Metasploit, Nessus, OpenVAS und Nmap erhältlich.