Blog

Heartbleed

Stellen wir uns mal vor, dass es eine Sicherheitslücke gibt, die kaum jemand versteht, aber bei Allen einen Aufschrei hervorruft. So geschehen mit Heartbleed. Was ist Heartbleed? Vielleicht erklärt die Pressemitteilung des BSI die Sache am Einfachsten. Die Lücke bietet die Möglichkeit Speicherinhalte des OpenSSL-Servers auszulesen und möglicherweise auch die geheimen Schlüssel auszulesen. Der verantwortliche Programmierer räumt den Fehler ein.

Für Banken, eMail-Anbieter, Onlineshops und allen Anbietern kritischer Systeme wird diese Lücke für Arbeit sorgen. Alle Internetnutzer sollten wieder über Ihre Online-Sicherheit und Ihr Online-Verhalten nachdenken.

Ist Panik angesagt? Ich denke nein. Einmal ist das Kind bereits in den Brunnen gefallen und andererseits werden die seriösen Dienste Ihre Lücken stopfen. Geheimdienste verlieren eine Spionagemöglichkeit.

Sollte man seine Passwörter ändern? Ja! Aber, da Ihr das sowieso jeden Monat oder in anderen regelmäßigen Abständen erledigt, wird das sicher kein Problem sein? *grins*

Welche Folgen sollte diese Lücke haben?

  • Unternehmen sollten mehr Leute damit beschäftigen eingesetzten Code zu prüfen! Sie werden es aber nicht tun.
  • OpenSource hat ein Vertrauensproblem, dass NICHT unbekannt ist. Um das zu ändern, müssen OpenSource Initiativen mehr Power in Prüfabläufe stecken. Werden Sie das schaffen? Wahrscheinlich nicht! OpenSource hat den Vorteil, dass JEDER den Quellcode anschauen und prüfen und verändern kann. Aber tun das die Massen auch? Nie im Leben! Wer von Euch aktives Mitglied in einem Verein oder einer Partei ist, weiß wie viele Leute die Arbeit machen und wie viele sich auf deren Leistungen ausruhen. Nicht umsonst weise ich bei meinen Softwareempfehlungen darauf hin, dass die Anbieter von OpenSource-Software auch Spenden annehmen. Gerne von EUCH!
  • Unternehmen, egal ob groß oder klein, müssen das Thema IT-Sicherheit endlich wahrnehmen. Sie werden es aber eher nicht tun, denn es kostet Geld.
  • Anbieter proprietärer Software werden sich die Hände reiben. Mindestens diejenigen, die Erfahrung mit Sicherheitsthemen haben. Warum? Weil einige Geld in Sicherheit investieren, denn Vertrauen in sichere Software ist ihr Geschäft. Da könnte man fast vergessen, dass Einige den Geheimdiensten (NSA & Co) zulieferten. Wem man vertraut, man vertraut immer dem Falschen!

Klingt das alles zu negativ? Ich finde nein. Auch die Letzten unter uns sollten sich endlich davon verabschieden, dass es 100ige Sicherheit gibt. Gehirn einschalten und das Machbare umsetzen. Das wäre ein Anfang.

 

PS: Auf SPIEGEL-ONLINE wurde für Passwort-Manager geworben! Ehrlich: Stift, Blatt-Papier, Ordner zum abheften und ein sicherer (feuerfester) Aufbewahrungsort sind die beste Lösung!

Tagged , , ,