Wichtige Hinweise nach Sicherheitslücke in OpenSSL

Das Wichtigste zuerst: Nach Bekanntwerden des sogenannten Heartbleed-Bugs in der OpenSSL-Bibliothek am 07.04.2014 wurden noch am selben Tag alle Systeme von Raumopol ausführlich geprüft und ggf. aktualisiert.

Der Softwarefehler existiert wohl von der Öffentlichkeit unbemerkt schon seit März 2012 in OpenSSL. Bei uns wurde die betroffene Programmbibliothek nur auf einem einzigen System eingesetzt. Theoretisch waren demnach lediglich 2 mit SSL abgesicherte Dienste betroffen:

• FTP über verschlüsselte Verbindung
• HTTP über unserere kostenlose SSL-Verschlüsselung

Wir haben bereits wenige Stunden nach öffentlicher Bekanntgabe der Sicherheitshinweise einen Fix eingespielt.

Momentan besteht keinerlei Anlass zu der Annahme, dass Raumopol Ziel von Angriffen war. Wir haben als reine Vorsichtsmaßnahme am Dienstag, 08.04.2014 alle verwendeten Zertifikate ausgetauscht*. Es ist sehr unwahrscheinlich, dass innerhalb dieser Zeitspanne tatsächlich Nutzerdaten sichtbar wurden. Trotzdem empfehlen wir Ihnen, Ihr FTP-Zugangskenntwort zu ändern, wenn Sie damit über SSL-gesicherte Verbindung zugreifen. Wir empfehlen auch, die Kennwörter der Dienste zu ändern, auf die über unsere kostenlose SSL-Verschlüsselung zugegriffen wurde.

Natürlich können auch wir nicht ausschließen, dass die Lücke schon vorher ausgenutzt wurde und die SSL-Zertifikate damit missbraucht werden konnten. Allerdings ist das Ausspähen der Passwörter damit ungleich schwieriger als durch Ausnutzen der Sicherheitslücke. Ein Angreifer müsste sich dazu in Ihre Verbindung einklinken und Ihnen vorgaukeln, er wäre z.B. unser Mailserver. Und auch das geht nun nicht mehr, denn die alten Zertifikate sind ungültig und würden Ihnen eine Fehlermeldung anzeigen. Es ist demnach höchst unwahrscheinlich, dass irgendwelche anderen Zugangssdaten als die oben genannten bei Raumopol ausgespäht wurden. Eine Änderung weiterer Passwörter halten wir daher bei unseren anderen Diensten nicht für zwingend notwendig.

Weitere Informationen finden sich auf heartbleed.com (englisch) und bei heise Security.

* Je nach Nutzung werden Sie ggf. aufgefordert, das neue Zertifikat zu prüfen und zu akzeptieren. Das sollte normalerweise nur bei Nutzung der kostenlosen SSL-Verschlüsselung für Webseiten auftreten. Sollten Sie diese Verhalten auch bei E-Mails bemerken, haben Sie vielleicht falsche Kontoeinstellungen. Hinweise und neue Fingerprints finden Sie unter Hinweise zur kostenlosen SSL-Verschlüsselung für Webseiten.