"Heartbleed"

Testen Sie, ob Ihr OpenSSL-Dienst sicher ist

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Die schwere Sicherheitslücke in OpenSSL trifft Web-Provider und Cloud-Services weitgehend unvorbereitet. Anwender sollten in den kommenden Tagen deshalb besonders vorsichtig sein. Wir geben Ihnen Tipps, wie Sie feststellen, ob und wie auch Sie betroffen sein können.

Der "Heartbleed"-Bug in der Krypto-Softwarebibliothek OpenSSL ist deshalb so gefährlich, weil zwei Dritter aller Web-Server (Apache, nginx) die Bibliothek einsetzen, sie überdies in E-Mail- und Messaging-Diensten und sogar Betriebssystemen werkelt.

"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
Foto: Codenomicon

Viele Server-Betreiber haben bereits reagiert und ihre OpenSSL-Installationen gepatcht. Auch bieten die meisten Linux-Distributionen inzwischen die geupdatete Version via Paketmanager an.

Einige Services sind aber nach wie vor anfällig. Wer wissen möchte, ob ein von ihm genutzter Online-Dienst noch anfällig ist, kann dies auf http://filippo.io/Heartbleed/ und http://possible.lv/tools/hb/ tun. Für Server-Betreiber steht das Heartbleed-Checker-Script auch für einen lokalen Test zur Verfügung. Weitere Testmodule sind für Metasploit, Nessus, OpenVAS und Nmap erhältlich.