Heartbleed betrifft auch Router und VPN-Lösungen

Betroffen sind unter anderem Router und Switches, bei denen die Behebung des Problems sich langwierig gestalten könnte, berichtet das Wall Street Journal (WSJ). Demnach hat Juniper auch schon Patches für einige Versionen seiner VPN-Software (Virtual Private Network) veröffentlicht. Denn auch die Lösung, die externen Mitarbeitern sicheren Zugriff auf interne Unternehmsnetzwerke bieten soll, war von Heartbleed betroffen.

«Heartbleed entwickelt sich immer mehr zur grössten Sicherheitslücke, die jemals gefunden wurde. Es steht zu befürchten, dass die Schwachstelle in OpenSSL weitere Kreise zieht, als bislang vermutet», heisst es seitens der Sicherheitsspezialisten ESET auf Anfrage von pressetext. Generell müsse man bedenken, dass OpenSSL nicht nur bei Webservern, sondern auch bei Embedded-Geräten zum Einsatz kommt, warnt ESET Senior Research Fellow David Harley im Unternehmensblog.

Viel mehr als nur Server

Während für Endanwender vor allem relevant ist, welche grossen Websiten von Heartbleed betroffen waren, werden gerade für Unternehmen auch andere betroffene Systeme eine wichtige und letztlich vielleicht sogar grössere Rolle spielen. Ein Beispiel dafür sind multimediale IP-Telephone. In diese Kategorie fällt ein grösserer Teil jener zu Readktionsschluss 16 Cisco-Produkte, die laut Security Advisory des Netzwerkausrüsters von Heartbleed betroffen sind. Erfreulich ist dagegen, dass Cisco bei vielen VPN-Routern bereits ausschliessen konnte, dass diese durch die Lücke angreifbar wären.

Wie Juniper Networks gegenüber dem WSJ betont, dürfte das Schliessen der Lücke bei Netzwerkausrüstung nicht so einfach sein. «Das klingt nicht nach etwas, das wie einen Schalter umzulegen ist», so ein Sprecher. Er könne noch nicht sagen, wie lange es dauern wird, das Problem in den Griff zu bekommen. Bei Software-Lösungen reicht eher ein einfacher Patch. Dass auch VPN-Software von Heartbleed betroffen war, wirft aber die Frage auf, inwieweit die Lücke Angreifern womöglich den Zugriff auf kritische interne Daten von Unternehmen eröffnet hat.

Kastrastrophestufe elf

Heartbleed hat seit dem Bekanntwerden der Lücke Anfang dieser Woche hohe Wellen geschlagen. Denn der Fehler in OpenSLL bietet Angreifern eine Chance, Daten von Passwörtern bis hin zu den privaten Schlüsseln von Websites zu stehlen. Der anerkannte IT-Security-Guru Bruce Schneier hat die Lücke in seinem Blog daher als katastrophal bezeichnet. «Auf einer Skala von eins bis zehn ist das eine Elf», so Schneier. Sein Blog war ebenso betroffen wie hundertausende andere Seiten, darunter grosse Webangebote wie Facebook, Google Mail oder Tumblr.

Da betroffene grosse Anbieter schnell ihre Webseiten entsprechend gepatcht haben, raten Experten Usern inzwischen, möglichst rasch ihre Passwörter für betroffene Dienste zu ändern. Für Unternehmen gilt es indes nicht nur zu klären, ob die eigene Webseite betroffen ist und nötigenfalls eine OpenSSL-Aktualisierung vorzunehmen. Sie müssen auch klären, ob sie beispielsweise angreifbare Embedded-Systeme nutzen. Gerade hier könnte es noch richtig teuer werden. «Ein Upgrade-Pfad, der den Müll, einen Besuch bei Best Buy und eine Kreditkarte umfasst, wird keinem Spass machen», warnt Schneier.

(bert/pte)