Die Wahrheit brennt!!!: Wie gehe ich mit dem "Heartbleed Bug" um?

Sonntag, 13. April 2014

Wie gehe ich mit dem "Heartbleed Bug" um?

Bildquelle: Giga.de

Oh man, da biste mal ne Woche krank und schon kommt die "ultimative Netzkrise" daher. Der "Heartbleed Bug" beim "OpenSSL" Verschlüsselungs-System. Erst einmal ein bisschen grundsätzliches dazu:

Mehr als die Hälfte der Server auf der Welt verwenden OpenSSL: Banken, Online-Shops, aber auch im Hintergrund ablaufende automatische Prozesse wie beispielsweise Software-Updates uvam. werden über dieses System abgewickelt.

Der aktuell aufgedeckte und weltweit verbreitete Fehler in OpenSSL führt dazu, das von dritter Seite (aus dem Arbeitsspeicher der Server) auszugsweise Informationen ausgelesen werden können - z.B. die Schlüssel zur Entschlüsselung von Kommunikationsinhalten. Das Schlimme daran ist, wenn der Angreifer Schlüssel des SSL Servers (oder Euren Schlüssel) hat kann er viele Dinge, unter anderem auch Passwörter in Klartext lesen. Erlangt der Angreifer die Sicherheitszertifikate kann er theoretisch eigene Schlüssel erstellen und sich selbst beispielsweise als Banken- oder Softwareherstellerserver ausgeben - genau das Szenario sollte die SSL-Verschlüsselung eigentlich komplett ausschließen. Neben vielen finanziellen Manipulationsmöglichkeiten (z.B. beim Onlinebanking oder bei Amazon/ebay) könnte auch Schadsoftware unter "falscher Flagge" auf Euren Rechnen landen. Ich will jetzt nicht weiter ausholen, aber das war schon ein dickes Ding!

Bei aller Panik ist allerdings anzumerken das die Hauptaktion (um diesen Fehler zu reparieren) von Euren Serveradmins durchzuführen ist. Ihr (sofern Ihr keinen Server betreibt) seid also nur in zweiter Linie betroffen und auch nur dann wenn schon Daten abgegriffen wurden - später dazu mehr.

Nun plötzlich schreit der Mainstream nach einer grundsätzlichen Änderung der Internet-Sicherheitsstandards, ich meine zu unrecht. Das die NSA Heartbleed benutzt hat ist höchst wahrscheinlich, aber ich möchte jetzt überhaupt nicht darüber spekulieren ob dieser Bug eine "Backdoor" oder ein einfacher Fehler ist. Das Geschrei allerdings über eine grundlegende Änderung der Netzstruktur im punkto Sicherheit ist mir suspekt. Birgt doch eine umfassende Änderung der Standards Raum für neue (kaum einzuschätzende) Bugs, welche ein noch gößeres Sicherheitsrisiko darstellen könnten. Deshalb: "never change a running system"! Merzt den Fehler aus und gut iss!!!

Die Hauptarbeit um Heartbleed in seine Schranken zu weisen obliegt allen Serverbetreibern, dessen Seiten Ihr besucht. Die meisten großen Internetseitenbetreiber haben bereits reagiert und die OpenSSL-Lücke geschlossen. Sollten aber schon vorher Daten abgegriffen worden sein, hilft auf Eurer Seite nur ein Passwortwechsel. Die Bank oder andere wichtige Serverbetreiber sollten dann neue Sicherheitszertifikate angelegt haben - Wirklich sicher sind nur die Zertifikate, welche nach dem 08.04.14 erstellt wurden. Hier eine kleine Anleitung um zu checken ob Eure wichtigsten Seiten schon "repariert" sind und was Ihr sonst noch so tun könnt:

1. Bitte zum besseren Verständnis vorher folgendes Video ansehen:

2. Checkt Eure wichtigsten Seiten mit folgendem Onlinetool:

http://filippo.io/Heartbleed/

Einfach die URL (z.B.: www.Sparkasse.de) in das Feld eingeben und auf "GO" klicken.

Sollte eine Eurer Lieblingsseiten noch nicht repariert worden sein - Bitte sofort anmailen!!!

3. Lasst sämtliche Eurer Virenscanner über Euer System laufen. Nachher noch bitte folgende zwei Scanner downloaden und als Admin (installieren) ausführen, sowie durchlaufen lassen:

(Keine Sorge, die Programme wurden im Selbstversuch mehrfach von mir angewendet!!!)

http://filepony.de/download-malwarebytes_anti_malware/

http://filepony.de/download-adwcleaner/

Bitte alle Treffer markieren und löschen (prüft allerdings vorher ob die Programme nicht wichtige "Hackertools" von Euch als Schadsoftware erkannt haben. (Diese dann nicht markieren) Manchmal ist es notwendig vor der Ausführung der Programme die eigene Schaderkennungssoftware nebst Firewall kurzfristig auszuschalten.

4. Erneuert sämtliche Eurer Passwörter: Von Eurer Bank über die E-Mailadesse bis zu Spieleservern!!!

5. Passwörter des Routers ändern und Firmware updaten. Besonders anzuraten bei VPN Nutzern!!! Laut AVM ist die Fritzbox zwar mit OpenSSL ausgestattet, hat aber diesen Fehler nicht im System - diesbezüglich also Entwarnung für alle Fritzbox-user.

6. Vorsichtshalber Browser und Plugins aktualisieren. Ein Windowsupdate schadet auch nicht.

Wenn Ihr all diese Punkte beherzigt habt könnt Ihr Euch wieder zurücklehnen und Euch wichtigeren Dingen widmen. Ich hoffe diese kleine Anleitung ist umsetzbar und kann Euch helfen - mir hat sie jedenfalls geholfen!

Liebe Grüße und einen schönen Sonntag noch!

Euer Micha

Quellen:

youtube - Semper Video - Die Heartbleed-Katastrophe
GMX - Nach Heartbleedentdeckung Passwort ändern

Keine Kommentare:

Kommentar veröffentlichen

Impressum, Urheberrecht und Datenschutz

Impressum:

Anbieter

M. Rubbel
Postfach: 18 10 - 59423 Unna
E-Mail: s04mr@gmx.net

AGB und Haftungsausschluß:

Trotz sorgfältiger inhaltlicher Kontrolle übernehme ich keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.

Urheberrecht

Ich bemühe mich, mit dieser Seite keinerlei Rechte zu verletzen. Sollten Sie meinen, dass irgendetwas auf dieser Seite irgendein Recht verletzt, so kontaktieren Sie mich bitte ausschließlich über die oben angegebene E-Mail Adresse. Sie sind von einer Schadensminderungspflicht betroffen, was heißen soll, auf ihr Anliegen wird zügig, angemessen und wohlwollend reagiert. Die Beauftragung eines Anwaltes ist somit aus den zuvor genannten Gründen unnötig. Sollten Sie trotzdem einen Rechtsbeistand beauftragen, haften Sie selbst für die entstehenden Kosten.

Datenschutzerklärung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

M. Rubbel
Postfach: 18 10 - 59423 Unna
E-Mail: s04mr@gmx.net

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten des Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung,
Berichtigung unrichtiger personenbezogener Daten,
Löschung Ihrer bei uns gespeicherten Daten,
Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen,
Widerspruch gegen die Verarbeitung Ihrer Daten bei uns und
Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben.

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich jederzeit mit einer Beschwerde an die für Sie zuständige Aufsichtsbehörde wenden. Ihre zuständige Aufsichtsbehörde richtet sich nach dem Bundesland Ihres Wohnsitzes, Ihrer Arbeit oder der mutmaßlichen Verletzung. Eine Liste der Aufsichtsbehörden (für den nichtöffentlichen Bereich) mit Anschrift finden Sie unter:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Zwecke der Datenverarbeitung durch die verantwortliche Stelle und Dritte

Wir verarbeiten Ihre personenbezogenen Daten nur zu den in dieser Datenschutzerklärung genannten Zwecken. Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt. Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

Sie Ihre ausdrückliche Einwilligung dazu erteilt haben,
die Verarbeitung zur Abwicklung eines Vertrags mit Ihnen erforderlich ist,
die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,

die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.

Löschung bzw. Sperrung der Daten

Wir halten uns an die Grundsätze der Datenvermeidung und Datensparsamkeit. Wir speichern Ihre personenbezogenen Daten daher nur so lange, wie dies zur Erreichung der hier genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen vielfältigen Speicherfristen vorsehen. Nach Fortfall des jeweiligen Zweckes bzw. Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Erfassung allgemeiner Informationen beim Besuch unserer Website

Wenn Sie auf unsere Website zugreifen, werden automatisch mittels eines Cookies Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers und ähnliches. Hierbei handelt es sich ausschließlich um Informationen, welche keine Rückschlüsse auf Ihre Person zulassen.

Diese Informationen sind technisch notwendig, um von Ihnen angeforderte Inhalte von Webseiten korrekt auszuliefern und fallen bei Nutzung des Internets zwingend an. Sie werden insbesondere zu folgenden Zwecken verarbeitet:

Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
Sicherstellung einer reibungslosen Nutzung unserer Website,
Auswertung der Systemsicherheit und -stabilität sowie
zu weiteren administrativen Zwecken.

Die Verarbeitung Ihrer personenbezogenen Daten basiert auf unserem berechtigten Interesse aus den vorgenannten Zwecken zur Datenerhebung. Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Empfänger der Daten sind nur die verantwortliche Stelle und ggf. Auftragsverarbeiter.

Anonyme Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Cookies

Wie viele andere Webseiten verwenden wir auch so genannte „Cookies“. Cookies sind kleine Textdateien, die von einem Websiteserver auf Ihre Festplatte übertragen werden. Hierdurch erhalten wir automatisch bestimmte Daten wie z. B. IP-Adresse, verwendeter Browser, Betriebssystem und Ihre Verbindung zum Internet.

Cookies können nicht verwendet werden, um Programme zu starten oder Viren auf einen Computer zu übertragen. Anhand der in Cookies enthaltenen Informationen können wir Ihnen die Navigation erleichtern und die korrekte Anzeige unserer Webseiten ermöglichen.

In keinem Fall werden die von uns erfassten Daten an Dritte weitergegeben oder ohne Ihre Einwilligung eine Verknüpfung mit personenbezogenen Daten hergestellt.

Natürlich können Sie unsere Website grundsätzlich auch ohne Cookies betrachten. Internet-Browser sind regelmäßig so eingestellt, dass sie Cookies akzeptieren. Im Allgemeinen können Sie die Verwendung von Cookies jederzeit über die Einstellungen Ihres Browsers deaktivieren. Bitte verwenden Sie die Hilfefunktionen Ihres Internetbrowsers, um zu erfahren, wie Sie diese Einstellungen ändern können. Bitte beachten Sie, dass einzelne Funktionen unserer Website möglicherweise nicht funktionieren, wenn Sie die Verwendung von Cookies deaktiviert haben.

SSL-Verschlüsselung

Um die Sicherheit Ihrer Daten bei der Übertragung zu schützen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschlüsselungsverfahren (z. B. SSL) über HTTPS.

Kommentarfunktion

Wenn Nutzer Kommentare auf unserer Website hinterlassen, werden neben diesen Angaben auch der Zeitpunkt ihrer Erstellung und der zuvor durch den Websitebesucher gewählte Nutzername gespeichert. Dies dient unserer Sicherheit, da wir für widerrechtliche Inhalte auf unserer Webseite belangt werden können, auch wenn diese durch Benutzer erstellt wurden.

Eingebettete YouTube-Videos

Auf einigen unserer Webseiten betten wir Youtube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von Youtube hergestellt. Dabei wird Youtube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem Youtube-Account eingeloggt sind, kann Youtube Ihr Surfverhalten Ihnen persönlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem Youtube-Account ausloggen.

Wird ein Youtube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise über das Nutzerverhalten sammeln.

Wer das Speichern von Cookies für das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von Youtube-Videos mit keinen solchen Cookies rechnen müssen. Youtube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. Möchten Sie dies verhindern, so müssen Sie das Speichern von Cookies im Browser blockieren.

Weitere Informationen zum Datenschutz bei „Youtube“ finden Sie in der Datenschutzerklärung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/

Änderung der Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Die Datenschutzerklärung wurde mit dem Datenschutzerklärungs-Generator der activeMind AG erstellt.