Untersuchung zeigt:

“Heartbleed” überfordert österreichische Admins

(Bild: heartbleed.com, krone.at-Grafik)

In Österreich wurde die Schwachstelle bei der Verschlüsselungs-Software OpenSSL bisher in vielen Fällen unzureichend behoben. "Heartbleed"-Betroffene haben zu 65 Prozent die SSL-Zertifikate nicht aktualisiert, sechs Prozent überhaupt falsche Maßnahmen ergriffen. Das ist das Ergebnis einer Analyse des österreichischen IT-Sicherheitsspezialisten SBA Research.

"SBA Research empfiehlt allen von Heartbleed betroffenen Administratoren die korrekte Neuausstellung des SSL-Zertifikates inklusive Neugenerierung des Schlüsselmaterials", hieß es am Freitag in einer Aussendung von SBA Research. Man habe eine Analyse über die Behebung der Schwachstelle durchgeführt. Dabei sei es für die Administratoren der betroffenen Server nicht nur wichtig, die OpenSSL-Bibliothek zu aktualisieren, sondern auch, Benutzer der Seite zur Passwort-Änderung aufzufordern und die SSL-Zertifikate inklusive kryptografischer Schlüssel zu erneuern. Letzteres wurde in dieser Studie überprüft, erklärte man.

Viele Administratoren reagieren falsch
Als Basis für die Studie wurden jene Server herangezogen, die am 9. April 2014 auf dem HTTPS-Port (443) geantwortet hatten und für die "Heartbleed"-Schwachstelle anfällig waren. Es seien mehr als 5.600 IP-Adressen gewesen. Aussortiert wurden jene, die nicht mehr erreichbar waren. Außerdem wurden jene IP-Adressen herausgenommen, die entweder ein ungültiges, ein abgelaufenes oder ein selbst signiertes SSL-Zertifikat auswiesen. Am Ende blieben 503 erreichbare österreichische Webseiten übrig, bei denen die Erneuerung der SSL-Zertifikate überprüft wurde.

Dabei wurde festgestellt, dass 328 IP-Adressen die SSL-Zertifikate gar nicht oder ohne Neugenerierung des kryptografischen Schlüssels (sechs Prozent) aktualisiert hatten. Von jenen 35 Prozent, welche das Zertifikat erneuert hatten, hatte etwa jeder fünfte Administrator falsche Maßnahmen getroffen, hieß es in der Aussendung. Das bedeute konkret, dass zwar ein neues SSL-Zertifikat erstellt worden war, jedoch das alte Schlüsselpaar wiederverwendet wurde. Da die "Heartbleed"-Lücke ein Auslesen des privaten Schlüssels ermögliche, sei es aber unerlässlich, auch das Schlüsselpaar neu zu generieren.