Angreifbare Netzwerk-Infrastruktur
Heartbleed betrifft auch Router und VPN-Lösungen
publiziert: Samstag, 12. Apr 2014 / 11:15 Uhr
Die Lücke findet sich auch in Produkten der Netzwerkausrüster Cisco und Juniper Networks.
New York/Jena - Die als «Heartbleed» bekannt gewordene Sicherheitslücke in der Verschlüsselungs-Software OpenSSL findet sich auch in Produkten der beiden grossen Netzwerkausrüster Cisco und Juniper Networks.
Betroffen sind unter anderem Router und Switches, bei denen die Behebung des Problems sich langwierig gestalten könnte, berichtet das Wall Street Journal (WSJ). Demnach hat Juniper auch schon Patches für einige Versionen seiner VPN-Software (Virtual Private Network) veröffentlicht. Denn auch die Lösung, die externen Mitarbeitern sicheren Zugriff auf interne Unternehmsnetzwerke bieten soll, war von Heartbleed betroffen.
«Heartbleed entwickelt sich immer mehr zur grössten Sicherheitslücke, die jemals gefunden wurde. Es steht zu befürchten, dass die Schwachstelle in OpenSSL weitere Kreise zieht, als bislang vermutet», heisst es seitens der Sicherheitsspezialisten ESET auf Anfrage von pressetext. Generell müsse man bedenken, dass OpenSSL nicht nur bei Webservern, sondern auch bei Embedded-Geräten zum Einsatz kommt, warnt ESET Senior Research Fellow David Harley im Unternehmensblog.
Viel mehr als nur Server
Während für Endanwender vor allem relevant ist, welche grossen Websiten von Heartbleed betroffen waren, werden gerade für Unternehmen auch andere betroffene Systeme eine wichtige und letztlich vielleicht sogar grössere Rolle spielen. Ein Beispiel dafür sind multimediale IP-Telephone. In diese Kategorie fällt ein grösserer Teil jener zu Readktionsschluss 16 Cisco-Produkte, die laut Security Advisory des Netzwerkausrüsters von Heartbleed betroffen sind. Erfreulich ist dagegen, dass Cisco bei vielen VPN-Routern bereits ausschliessen konnte, dass diese durch die Lücke angreifbar wären.
Wie Juniper Networks gegenüber dem WSJ betont, dürfte das Schliessen der Lücke bei Netzwerkausrüstung nicht so einfach sein. «Das klingt nicht nach etwas, das wie einen Schalter umzulegen ist», so ein Sprecher. Er könne noch nicht sagen, wie lange es dauern wird, das Problem in den Griff zu bekommen. Bei Software-Lösungen reicht eher ein einfacher Patch. Dass auch VPN-Software von Heartbleed betroffen war, wirft aber die Frage auf, inwieweit die Lücke Angreifern womöglich den Zugriff auf kritische interne Daten von Unternehmen eröffnet hat.
Kastrastrophestufe elf
Heartbleed hat seit dem Bekanntwerden der Lücke Anfang dieser Woche hohe Wellen geschlagen. Denn der Fehler in OpenSLL bietet Angreifern eine Chance, Daten von Passwörtern bis hin zu den privaten Schlüsseln von Websites zu stehlen. Der anerkannte IT-Security-Guru Bruce Schneier hat die Lücke in seinem Blog daher als katastrophal bezeichnet. «Auf einer Skala von eins bis zehn ist das eine Elf», so Schneier. Sein Blog war ebenso betroffen wie hundertausende andere Seiten, darunter grosse Webangebote wie Facebook, Google Mail oder Tumblr.
Da betroffene grosse Anbieter schnell ihre Webseiten entsprechend gepatcht haben, raten Experten Usern inzwischen, möglichst rasch ihre Passwörter für betroffene Dienste zu ändern. Für Unternehmen gilt es indes nicht nur zu klären, ob die eigene Webseite betroffen ist und nötigenfalls eine OpenSSL-Aktualisierung vorzunehmen. Sie müssen auch klären, ob sie beispielsweise angreifbare Embedded-Systeme nutzen. Gerade hier könnte es noch richtig teuer werden. «Ein Upgrade-Pfad, der den Müll, einen Besuch bei Best Buy und eine Kreditkarte umfasst, wird keinem Spass machen», warnt Schneier.
«Heartbleed entwickelt sich immer mehr zur grössten Sicherheitslücke, die jemals gefunden wurde. Es steht zu befürchten, dass die Schwachstelle in OpenSSL weitere Kreise zieht, als bislang vermutet», heisst es seitens der Sicherheitsspezialisten ESET auf Anfrage von pressetext. Generell müsse man bedenken, dass OpenSSL nicht nur bei Webservern, sondern auch bei Embedded-Geräten zum Einsatz kommt, warnt ESET Senior Research Fellow David Harley im Unternehmensblog.
Viel mehr als nur Server
Während für Endanwender vor allem relevant ist, welche grossen Websiten von Heartbleed betroffen waren, werden gerade für Unternehmen auch andere betroffene Systeme eine wichtige und letztlich vielleicht sogar grössere Rolle spielen. Ein Beispiel dafür sind multimediale IP-Telephone. In diese Kategorie fällt ein grösserer Teil jener zu Readktionsschluss 16 Cisco-Produkte, die laut Security Advisory des Netzwerkausrüsters von Heartbleed betroffen sind. Erfreulich ist dagegen, dass Cisco bei vielen VPN-Routern bereits ausschliessen konnte, dass diese durch die Lücke angreifbar wären.
Wie Juniper Networks gegenüber dem WSJ betont, dürfte das Schliessen der Lücke bei Netzwerkausrüstung nicht so einfach sein. «Das klingt nicht nach etwas, das wie einen Schalter umzulegen ist», so ein Sprecher. Er könne noch nicht sagen, wie lange es dauern wird, das Problem in den Griff zu bekommen. Bei Software-Lösungen reicht eher ein einfacher Patch. Dass auch VPN-Software von Heartbleed betroffen war, wirft aber die Frage auf, inwieweit die Lücke Angreifern womöglich den Zugriff auf kritische interne Daten von Unternehmen eröffnet hat.
Kastrastrophestufe elf
Heartbleed hat seit dem Bekanntwerden der Lücke Anfang dieser Woche hohe Wellen geschlagen. Denn der Fehler in OpenSLL bietet Angreifern eine Chance, Daten von Passwörtern bis hin zu den privaten Schlüsseln von Websites zu stehlen. Der anerkannte IT-Security-Guru Bruce Schneier hat die Lücke in seinem Blog daher als katastrophal bezeichnet. «Auf einer Skala von eins bis zehn ist das eine Elf», so Schneier. Sein Blog war ebenso betroffen wie hundertausende andere Seiten, darunter grosse Webangebote wie Facebook, Google Mail oder Tumblr.
Da betroffene grosse Anbieter schnell ihre Webseiten entsprechend gepatcht haben, raten Experten Usern inzwischen, möglichst rasch ihre Passwörter für betroffene Dienste zu ändern. Für Unternehmen gilt es indes nicht nur zu klären, ob die eigene Webseite betroffen ist und nötigenfalls eine OpenSSL-Aktualisierung vorzunehmen. Sie müssen auch klären, ob sie beispielsweise angreifbare Embedded-Systeme nutzen. Gerade hier könnte es noch richtig teuer werden. «Ein Upgrade-Pfad, der den Müll, einen Besuch bei Best Buy und eine Kreditkarte umfasst, wird keinem Spass machen», warnt Schneier.
(bert/pte)
Obwohl Smartphones und Tablets ... mehr lesen
San Francisco/Bern - Wenige Tage ... mehr lesen 1
Digitaler Strukturwandel Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Um der steigenden Verbreitung manipulierter Inhalte entgegenzuwirken, haben sich Google, Meta und OpenAI der C2PA angeschlossen. Ihr Ziel ist es, Standards zu entwickeln, um authentische Inhalte von solchen zu unterscheiden, die mithilfe von Künstlicher Intelligenz erstellt wurden. mehr lesen
Publinews Die Paysafecard ist ein elektronisches Zahlungsmittel, das auf dem Prepaid-Prinzip basiert. Es ermöglicht ... mehr lesen
Publinews Die Zeit von 123456 als populärstem Passwort scheint vorbei zu sein. Laut der 2023er ... mehr lesen
Der Bundesrat hat am ein Massnahmenpaket zur Förderung eines Schweizer Datenökosystems verabschiedet. Das Ziel des Datenökosystems ist es, das ... mehr lesen
eGadgets Montreux-Festival: Musik wird mit Röntgenlicht gerettet Das Paul Scherrer Institut hat eine ...
-
22:42
Aussenhandel schrumpft im ersten Quartal 2024 -
18:54
Die Evolution des Balles an den Fussball-WMs: Von Leder bis Hightech -
15:59
Spannende Einblicke in die Welt der Berufsbildung -
23:12
Im Notfall helfen können − Deswegen ist der Nothelferkurs so wichtig -
14:52
CBD in Mahlzeiten und Getränken: Worauf sollte man achten? -
14:43
Die Kunst des Loslassens: Leben im Einklang mit dem Wenigen -
00:00
Wie Themenhotels in der Schweiz Ihre Reise unvergesslich gestalten -
22:54
Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden -
16:40
Montreux-Festival: Musik wird mit Röntgenlicht gerettet -
20:47
KI in der Kriegsplanung getestet - Letzte Meldungen
- Freie Stellen aus den Berufsgruppen Bewachung, Kontrolle, Sicherheit, Testing, Audit, Security, Datenbank Spezialisten, Entwicklung, Netzwerk Spezialisten, Engineers, Software Programmierung
- Frontend Software Engineer
Mägenwil - Das erwartet dich Das selbständige Umsetzen von Frontend-Applikationen für unseren komplett inhouse... Weiter - IT System Engineer (m/f/d)
Kriens - IHRE HERAUSFORDERUNG Im operativen Tagesgeschäft unterstützen Sie unsere Kunden telefonisch oder... Weiter - Java Software Engineer
Mägenwil - Das erwartet dich Im Fokus steht die kontinuierliche Weiterentwicklung von unseren komplett inhouse... Weiter - System Engineer
Mägenwil - Das erwartet dich Du bist verantwortlich für Weiterentwicklung, Installation, Betrieb, Wartung und... Weiter - IT Security Officer
Mägenwil - Das erwartet dich Du wirst für die Planung und das Management des Rollouts von Security Hardware... Weiter - Spezialist Arbeitssicherheit & Brandschutz 60 - 100% (m/w/d)
Langenthal - Die KADI AG, Langenthal gehört zu den führenden Schweizer Herstellern qualitativ hochwertiger... Weiter - Senior Avaloq EntwicklerIn (w/m/d) 80-100%
Zürich - Deine Aufgaben Leitung von IT-Projekten im Bereich Avaloq Kernbankensystem mit Verantwortung für... Weiter - Junior NetzwerktechnikerIn (w/m/d) 80-100%
Zürich - Aufgaben: Inbetriebnahme und bei Bedarf Austausch von Netzwerkgeräten an den Bürostandorten,... Weiter - Network Security Engineer (w/m/d) 80-100%
Zürich - Aufgaben: Erstellen, Weiterentwickeln und Dokumentieren von Konzepten, Architekturen und... Weiter - Chief Information Security Officer
Allschwil - 80 - 100% Ihre Aufgaben Sie sind verantwortlich für die Definition, Umsetzung und kontinuierliche... Weiter - Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler. Source: http://www.news.ch/ajax/top5.aspx?ID=0&col=COL_3_1
Möchten Sie zu diesen Themen eine eigene
Internetpräsenz aufbauen?
www.software.ch www.passwoertern.swiss www.schneier.com www.mitarbeitern.net www.netzwerkausruestung.org www.verschluesselungs.shop www.schalter.blog www.switches.eu www.kategorie.li www.kastrastrophestufe.de www.geraeten.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Internetpräsenz aufbauen?
www.software.ch www.passwoertern.swiss www.schneier.com www.mitarbeitern.net www.netzwerkausruestung.org www.verschluesselungs.shop www.schalter.blog www.switches.eu www.kategorie.li www.kastrastrophestufe.de www.geraeten.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Heute | Sa | So | |||
Zürich | 1°C | 7°C | |||
Basel | 3°C | 9°C | |||
St. Gallen | 1°C | 5°C | |||
Bern | -1°C | 7°C | |||
Luzern | 2°C | 7°C | |||
Genf | 0°C | 12°C | |||
Lugano | 6°C | 16°C | |||
mehr Wetter von über 8 Millionen Orten |
- Die Evolution des Balles an den Fussball-WMs: Von Leder bis Hightech
- Die Wertvollsten Spieler im Fussball: Aktuelle Top-Stars
- Die verborgenen Taktiken der Fussballmannschaften
- Superfoods für Fussballer: Welche Nahrungsmittel steigern die Ausdauer und Leistung auf dem Feld?
- Jenseits der Top-Clubs: Die Seele des Fussballs in kleinen Vereinen
- So gestalten Sie eine unvergessliche Fussballparty
- Der emotionale Aufstieg: Wie Fans die Siege ihres Teams hautnah erleben
- Mehr Fussball-Meldungen
- Aussenhandel schrumpft im ersten Quartal 2024
- Spannende Einblicke in die Welt der Berufsbildung
- Firmenwebsite professionell gestalten
- Adaptogene Pflanzen: Natürliche Helfer für Balance und Wohlbefinden
- KI in der Kriegsplanung getestet
- Schweizerische Exportrisikoversicherung erreicht solides Ergebnis im 2023
- Konkurse auf Dreijahreshoch
- Weitere Wirtschaftsmeldungen
- Montreux-Festival: Musik wird mit Röntgenlicht gerettet
- Reparieren statt wegwerfen: So funktioniert die Reparatur von Elektrogeräten
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Die Kopfhörer für erholsamen Schlaf
- Der Renault 5 kommt zurück - diesmal elektrisch
- Makerspaces: Orte der Kreativität und Innovation
- 13,3% der Erwerbstätigen verwenden bei ihrer Arbeit nie digitale Geräte
- Letzte Meldungen
- BMW Vision Neue Klasse X: So sieht der iX3-Nachfolger aus
- Durchbruch bei der Wasserstoffproduktion
- Uhren für Klimaaktivisten: ID Genève setzt voll auf Nachhaltigkeit
- Revolutionäre Energiespeicher: Superkondensator aus Zement, Wasser und Russ
- «co-operate»: Modell für klimagerechtes Bauen
- Schweizer Finanzplatzakteure entwickeln gemeinsam die Net-Zero Data Public Utility
- Tesla baut neue Mega-Factory in Shanghai
- Letzte Meldungen
- Seminare zum Thema Datenschutz
- Workshop zu Sicherheit und Datenschutz - SIDA
- EU Datenschutzverordnung - DATS
- Ethik & Datenschutz in der Digitalen Transformation - KIED
- Der betriebliche Datenschutzverantwortliche - DATV
- 21. Berner Tagung für Informationssicherheit After the Breach
- ISSS Security Talk: Darknet - Einblick in den digitalen Untergrund“
- Datenschutz, insbesondere Datensicherung
- DSGVO - Datenschutz-Grundverordnung der Europäischen Union
- CDPSE-Vertiefungskurs 2023: Ausbildung zertifizierter Datenschutz-Entwickler für internationales Zertifikat (ISACA)
- CDPSE-Prüfungsvorbereitungskurs 2023: zertifizierter Datenschutz-Entwickler (internationales Zertifikat)
- Weitere Seminare