Aktueller Sicherheitshinweis
10.04.2014: "Heartbleed" ist in allen Medien - was ist das und wen betrifft das?
Heartbleed-Logo (Codenomicon / CC)
- Wen betrifft die Sicherheitslücke?
- Wie ist der aktuelle Stand bei werk21?
- Was ist denn "heartbleed" nun eigentlich?
- Wurden denn Schlüssel geklaut?
- Das ist ja schrecklich, und nun?
- Wie schätzt Ihr denn die Gefahr ein?
- Ich nutze E-Mail / Webmailer von werk21. Was muss ich tun?
- Weitere Informationen
Im Folgenden informieren wir, inwieweit unsere Server von der Sicherheitslücke betroffen waren und erklären ein paar Hintergründe.
Wen betrifft die Sicherheitslücke?
Von der Sicherheistlücke sind nur KundInnen betroffen, die bei uns Seiten mit verschlüsselter Übertragung betreiben (deren Browseraufruf also mit "https://" beginnt). Und von diesen auch nur ein Teil, da nicht alle Server von der Lücke betroffen waren. Alle betroffenen KundInnen werden von uns informiert. Wer bis zum 11. April nichts von uns hört, war auch nicht betroffen.
Außerdem sind alle KundInnen betroffen, die über uns E-Mail nutzen (siehe unten).
Wie ist der aktuelle Stand bei werk21?
Umgehend nach Bekanntwerden der Lücke und Veröffentlichung der neuen Version wurde diese von uns eingespielt, so dass die Lücke auf allen unseren Servern nicht mehr besteht. Es ist nur ein Teil der Server betroffen gewesen. Unsere Mailserver und Webmailer sind unterdessen wieder sicher und verfügen über neue Zertifikate (siehe unten).
Was ist denn "heartbleed" nun eigentlich?
Wenn eine Webseite verschlüsselt übertragen wird, werden dafür ein Zertifikat und ein geheimer Schlüssel verwendet. Das Zertifikat ist öffentlich, der Schlüssel geheim. Wenn nun jemand den Schlüssel stiehlt, kann sich dieser (theoretisch) als die Original-Seite ausgeben.
Wurden denn Schlüssel geklaut?
Die Analyse von Netzwerk-Verkehr zeigt, dass seit einiger Zeit wahllos Angriffe auf zufällige Server gefahren wurden, um deren Schlüssel auszulesen. Zur Sicherheit muss davon ausgegangen werden, dass alle Schlüssel in die Hände Dritter gelangt sind.
Das ist ja schrecklich, und nun?
Wir sind die ganze Woche bereits dabei, die Schlüssel neu zu generieren und neue Zertifikate ausstellen zu lassen. Die alten Zertifikate werden von uns widerrufen, so dass Dritte damit nichts anfangen können. Alle betroffenen KundInnen werden informiert. Wer bis zum 11. April nichts hört, war auch nicht betroffen.
Wie schätzt Ihr denn die Gefahr ein?
Um ein geklautes Zertifikat- und Schlüsselpaar ausnutzen zu können, müssen Seitenbesucher erst einmal auf den Server mit dem geklauten Schlüssel umgeleitet werden. Dies ist nicht ohne weiteres möglich (hierzu muss entweder der Computer mit einem Virus infiziert sein oder ein Angriff auf unsere Nameserver-Infrastruktur oder die des Telefonanbieter erfolgreich gewesen sein oder der Datenverkehr über manipulierte Server geleitet werden). Diese Angriffe sind also aufwändig und müssen für jede angegriffene Seite angepasst werden. Wir sind der Meinung, dass unser Kundenspektrum dafür nicht im Fokus von Kriminellen steht. Die Entscheidung müssen letztlich unsere KundInnen treffen, wenn wir sie darüber informiert haben, dass sie betroffen waren. Sie müssen dann ggf. die NutzerInnen ihrer Seite darüber informieren, damit diese ihre Passworte ändern.
Ich nutze E-Mail / Webmailer von werk21. Was muss ich tun?
- Webmail: Generell ist davon auszugehen, dass der private Schlüssel für unsere SSL-Verschlüsselung (https) ausgelesen wurde. Es ist also theoretisch möglich, dass Ihr auf speziell präparierte Seiten umgeleitet wurdet und ihr dort Eure Zugangsdaten zum Mailkonto eingegeben habt.
- E-Mail: Auch für Mailserver bestand diese Lücke, so dass auch hier der private Schlüssel samt Zertifikat ausgelesen werden konnte. Aber auch hier ist der Aufwand ähnlich groß, Euren Mailtraffic über andere Server zu leiten. Dies lohnt sich unserer Einschätzung nach nur für Angriffe auf große Mailprovider.
Fazit: Wir halten die Chancen für gering, dass unsere Schlüssel und Zertifikate gezielt genutzt wurden, um daraus einen erfolgreichen Angriff zu erzeugen. Zur Sicherheit empfehlen wir jedoch, dass Ihr Euer Kennwort ändert (siehe E-Mail-Sicherheit (21.01.2014)).
