Aktuelles, Experten - geschrieben von cp am Freitag, April 11, 2014 18:40 - noch keine Kommentare
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein
Server-Betreiber sollten umgehend ein Update durchführen
[datensicherheit.de, 11.04.2014] Der „Heartbleed Bug“, über den derzeit in den Medien berichtet wird, ist eine Sicherheitslücke in einer Programmerweiterung von OpenSSL namens „Heartbeat“. OpenSSL ist eine freie Software-Bibliothek für Transport Layer Security (TLS) und umfasst Implementierungen verschiedener Verschlüsselungen. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks oder Appliances wie Router nutzen häufig diese Bibliothek für TLS/SSL-Verbindungen. Die Bibliothek enthält in den Versionen 1.0.1 bis 1.0.1f eine Schwachstelle, den „Heartbleed-Bug“.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft diese Schwachstelle als kritisch ein. Ein Angreifer ist unter Ausnutzung der Schwachstelle in der Lage, Speicherinhalte des OpenSSL Servers auszulesen, sofern diese die „Heartbeat“-Erweiterung aktiviert haben. Mithilfe des „Heartbleed Bugs“ können zudem unter Umständen die geheimen Schlüssel von OpenSSL-Servern ausgelesen werden.
Seit dem 7. April 2014 steht mit OpenSSL Version 1.0.1g ein Update zur Verfügung, das die Sicherheitslücke schließt. Betreiber, die auf ihren Servern OpenSSL einsetzen, sollten das Update umgehend einspielen. Falls seit März 2012 eine verwundbare OpenSSL-Version mit aktivierter Heartbeat-Erweiterung eingesetzt wurde, kann eine vergangene Kompromittierung von Schlüsseln nicht ausgeschlossen werden. Daher empfiehlt das BSI in einem solchen Fall den Austausch der verwendeten OpenSSL Server-, beziehungsweise Client-Zertifikate und Schlüssel sowie eine Änderung der verwendeten Passwörter. Der Austausch sollte erst nach der Einspielung des Updates erfolgen, da ansonsten die neuen Zertifikate wieder kompromittiert werden könnten. Die alten Zertifikate müssen nach erfolgreichem Austausch gesperrt werden. Betreiber sind aufgerufen, ihre Nutzer über die Umsetzung der Aktualisierung zu informieren, damit diese ihre Passwörter kurzfristig ändern.
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - März 7, 2026 0:55 - noch keine Kommentare
Cybersicherheitsgesetz: Im Entwurf staatliche Eingriffe in Netzinfrastrukturen vorgesehen
weitere Beiträge in Experten
- BVerwG-Urteil erschwert datenschutzrechtliche Kontrolle des BND durch BfDI
- KI für Dummies: Neuauflage soll Generative Künstliche Intelligenz verständlich erklären
- Vier Säulen der Cyber-Resilienz
- Illegale Inhalte: Verbraucherzentrale moniert Verstöße beim Melden gemäß DSA
- Digitaler Staat 2026 in Berlin: Datenschutzbehörden auf dem Kongress mit Gemeinschaftsstand vertreten
Aktuelles, Branche - März 6, 2026 17:23 - noch keine Kommentare
ISACA veröffentlicht Update des IT Audit Frameworks (ITAF)
weitere Beiträge in Branche
- Angriffe auf die Lieferkette betreffen fast jedes dritte Unternehmen in Deutschland
- Hybride Kriegsführung im Digitalzeitalter: KI-Systeme und Lieferketten als Teil der strategischen Angriffsfläche
- Veränderung mobiler Sicherheitsanforderungen infolge neuer Regulierungen und KI-Technologien
- Hohes Malware-Risiko: Mitarbeiter installieren in Unternehmen raubkopierte Software auf Arbeitsgeräten
- Kratos: Neues Phishing-as-a-Service-Kit ermöglicht selbst Anfängern Ausführung hochkomplexer Angriffe
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
Kommentieren