"Heartbleed"

Testen Sie, ob Ihr OpenSSL-Dienst sicher ist

09.04.2014
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Die schwere Sicherheitslücke in OpenSSL trifft Web-Provider und Cloud-Services weitgehend unvorbereitet. Anwender sollten in den kommenden Tagen deshalb besonders vorsichtig sein. Wir geben Ihnen Tipps, wie Sie feststellen, ob und wie auch Sie betroffen sein können.

Der "Heartbleed"-Bug in der Krypto-Softwarebibliothek OpenSSL ist deshalb so gefährlich, weil zwei Dritter aller Web-Server (Apache, nginx) die Bibliothek einsetzen, sie überdies in E-Mail- und Messaging-Diensten und sogar Betriebssystemen werkelt.

"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
"Heartbleed" traf die meisten Online-Anbieter unvorbereitet.
Foto: Codenomicon

Viele Server-Betreiber haben bereits reagiert und ihre OpenSSL-Installationen gepatcht. Auch bieten die meisten Linux-Distributionen inzwischen die geupdatete Version via Paketmanager an.

Einige Services sind aber nach wie vor anfällig. Wer wissen möchte, ob ein von ihm genutzter Online-Dienst noch anfällig ist, kann dies auf http://filippo.io/Heartbleed/ und http://possible.lv/tools/hb/ tun. Für Server-Betreiber steht das Heartbleed-Checker-Script auch für einen lokalen Test zur Verfügung. Weitere Testmodule sind für Metasploit, Nessus, OpenVAS und Nmap erhältlich.