Blog: Heartbleed - ein Jahr später immer noch ein Problem?

18.05.2015

Ein neuer Report behauptet, viele Firmen seien ein Jahr nach der Entdeckung noch immer anfällig für Heartbleed.

Im April war es ein Jahr her seit Heartbleed – eine der grössten Sicherheitslücken aller Zeiten – publik gemacht wurde. Damals hatte der Programmfehler weltweit Schlagzeilen gemacht, einerseits wegen der möglichen Schwere des Problems, andererseits wegen seiner weiten Verbreitung.

Das mit einer Schwachstelle in der kryptografischen Softwarebibliothek von OpenSSL verbundene Problem ermöglicht Hackern den Zugriff auf sensible Informationen durch Umgehen der SSL-/TLS-Verschlüsselung.

Das Problem war derart verbreitet, dass Schätzungen zufolge fast einer von fünf sicheren Web-Servern für einen Angriff anfällig war, selbst bei durch eine vertrauenswürdige Instanz zertifizierten Servern. Viele Berichterstatter bezeichneten die Schwachstelle sogar als Katastrophe.

In der Folge kämpften viele der weltweit grössten Unternehmen damit, ihre System zu patchen. Aber erfolgte die Reaktion auf das Problem schnell genug?

Sind Unternehmen immer noch verwundbar?

Nach einem Bericht der Computerwoche legt ein kürzlich erschienener Report der IT-Sicherheitsfirma Venafi nahe, dass viele Unternehmen noch Nachholbedarf haben, wenn es darum geht, sicherzustellen, dass ihre Systeme nicht gefährdet sind. Der Report besagt ausserdem, die Mehrzahl der „Global-2000“-Unternehmen habe bisher versäumt, das Problem vollständig zu beheben – obwohl die Schwachstelle schon seit einem Jahr bekannt ist.

Gemäss der Venafi-Untersuchung mit Stand April 2015 haben 74 Prozent aller Firmen immer noch Schwachstellen in öffentlich zugänglichen Systemen – das ist eine Verbesserung von lediglich zwei Prozentpunkten gegenüber August 2014. Der Report nennt ausserdem Zahlen des Ponemon Instituts, die besagen, dass 60 Prozent aller IT-Sicherheitsfachleute meinen, ihr Unternehmen müsse besser auf solche Schwachstellen reagieren, die wie Heartbleed Schlüssel und Zertifikate betreffen.

Einige Berichterstatter sind jedoch mit der Methodologie von Venafi und der Art der Darstellung der Ergebnisse nicht einverstanden. Sicherheitsforscher Robert Graham von Errata Security hält Venafis Zahlen für irreführend, da es sich bei dem beschriebenen Problem um den Austausch von kompromittierten Sicherheitszertifikaten handele, nicht um das Patchen der Schwachstelle selbst.

Graham merkt ausserdem an, dass dadurch die Einschätzung der genauen Wirkung schwieriger sei, da „es schwer zu sagen ist, welche Zertifikate wirklich ersetzt werden müssen.“

Ist ein Wandel der Unternehmenskultur notwendig?

Wenn auch Venafis Interpretation umstritten sein mag, die Ergebnisse an sich finden Zustimmung und heben ein wichtiges Problem hervor, das Unternehmen auf der ganzen Welt plagt – das Problem, regelmässigen Updates und Patches einzuspielen, als Antwort auf Bedrohungen und neu-entdeckte Schwachstellen.

Im Fall von Heartbleed könnten kompromittierte Zertifikate vielen Unternehmen weltweit noch Probleme bereiten. Oft wissen Unternehmen jedoch noch nicht einmal, welche Zertifikate gefährdet sind. Das Vernünftigste unter diesen Umständen ist, vom Schlimmsten auszugehen und die Zertifikate auf jeden Fall auszutauschen.

Nach wie vor besteht allerdings das Problem, dass viele Firmen solche Schritte nicht unternehmen. Das ist eine der wichtigsten Erkenntnisse des kürzlich veröffentlichten 2015 Data Breach InvestigationsReport von Verizon. Dieser ergab, dass Angriffe zwar immer ausgeklügelter werden, eine deutliche Mehrheit der Störfälle aber immer noch mit bewährten Methoden ausgeführt wurde.

Ein besonders besorgniserregendes Problem, das in der Studie identifiziert wurde: Viele öffentlich bekannte Schwachstellen blieben offen, hauptsächlich weil Firmen die verfügbaren Patches nicht einspielten. In einigen Fällen bestanden solche Sicherheitslücken bereits seit 2007.

Das zeigt auf, dass Unternehmen die Aktualisierung ihrer Systeme immer noch nicht ernst genug nehmen und sich damit zum Ziel von Angriffen machen.

Wie publikumswirksame Vorfälle wie Heartbleed und Shellshock illustriert haben, bleiben viele Sicherheitslücken bei Unternehmenslösungen bestehen. Dabei ist es eine Sache, einem Zero-Day-Angriff zum Opfer zu fallen vor dem man sich nur schwer schützen kann. Aber es kann eigentlich keine Entschuldigung dafür geben, dass man sein Unternehmen nicht vor bekannten Schwachstellen wie Heartbleed schützt.


von Marcel Mock, CTO