Contact
QR code for the current URL

Story Box-ID: 671367

Bundesverband IT-Sicherheit e.V. (TeleTrusT) Chausseestraße 17 10115 Berlin, Germany https://www.teletrust.de
Contact Mr Dr. Holger Mühlbauer +49 30 40054306

"Heartbleed Bug": Informationssicherheit und Vertrauen bleiben Prioritäten für ein sicheres Internet

(PresseBox) (Berlin, )
Informationssicherheit und Vertrauen in sichere Kommunikation müssen Priorität haben. Sichere Verschlüsselung ist essentiell für das Grundvertrauen im Internet. Die OpenSSL Lücke muss schnell geschlossen und SSL als Default gewählt werden.

Es ist bedauerlich, dass mit OpenSSL momentan eine Verschlüsselungssoftware Schlagzeilen macht, für die vorübergehend scheinbar zu gelten scheint, dass auf sie zu verzichten sicherer sei, als sie zu nutzen. Bei OpenSSL handelt es sich um eine Open-Source-Implementierung des TLS-Protokolls. In OpenSSL wurde ein Fehler entdeckt, der als "Heartbleed Bug" bezeichnet wird. Durch diesen Fehler gibt eine OpenSSL-Instanz Daten preis, die normalerweise weder verschlüsselt noch unverschlüsselt sichtbar sind. TLS sieht eine Funktion namens “Heartbeat” vor. Mit dieser können sich Rechner gegenseitig Leernachrichten zuschicken, um damit anzuzeigen, dass alles in Ordnung ist. Mit einer entsprechend zusammengesetzten Nachricht kann ein Angreifer eine OpenSSL-Instanz dazu veranlassen, in einer vermeintlichen Leernachricht 64 KByte aus dem Hauptspeicher zu liefern. Darin kann eine E-Mail, ein Text oder sonst etwas enthalten sein - im schlechtesten Fall auch ein geheimer Schlüssel oder ein Passwort.

Klaus Schmeh, cryptovision und Kryptografie-Experte des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) kommentiert: "Das TLS-Protokoll selbst ist nicht fehlerhaft. Es wurde im Fall von OpenSSL nur falsch implementiert. Die Verschlüsselung, die das TLS-Protokoll durchführt, ist vom Heartbleed-Bug nicht betroffen (abgesehen davon, dass man damit an den Schlüssel herankommen könnte). Fehler wie den Heartbeat Bug hat es schon viele gegeben. Meist waren Programme betroffen, die nichts mit Kryptografie zu tun haben. Wenn ein Speicherzugriff nicht sauber programmiert ist, dann kann dies ein Einfallstor für Hacker sein. Der Heartbleed Bug war für die OpenSSL-Entwickler leicht zu korrigieren - ein paar zusätzliche Codezeilen genügten. Die korrigierte Version ist längst verfügbar."

Gerade vor dem Hintergrund des OpenSSL Bug gilt die Empfehlung von Sicherheitsexperten wie Bruce Schneier: "Je besser wir verschlüsseln, desto schwieriger wird es für diverse Schnüffler, uns zu überwachen - auch wenn nicht jede Verschlüsselung zu 100 Prozent sicher ist."

Bundesverband IT-Sicherheit e.V. (TeleTrusT)

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Engineer for System Security" (T.E.S.S.) sowie des Qualitätszeichens "IT Security made in Germany". Hauptsitz des Verbandes ist Berlin. TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI).

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.