Fulda - OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet. Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Nun ist eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek aufgedeckt worden, über die Angreifer die Schlüssel auslesen, die Verschlüsselung aushebeln und die vermeintlich gesicherte Kommunikation kompromittieren können.

"Für OpenSSL-Anwender ist damit der Super-GAU eingetreten. Passwörter, Daten und ganze Kommunikationsvorgänge drohen in die Hände unbefugter Dritte zu fallen. Zumal die Sicherheitslücke einfach auszunutzen ist. Wir raten daher unbedingt zu einem Upgrade auf die nächsthöhere Version", erklärt Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de). Der deutsche SSL-Pionier bietet seinen Kunden angesichts dessen den schnellen Umtausch betroffener OpenSSL-basierter Zertifikate an.

Die jüngste Sicherheitslücke befindet sich in der Heartbeat-Funktion der Online-Bibliothek. Sie ist für den Status-Austausch verantwortlich, mit dem festgestellt wird, ob der Kommunikationspartner noch aktiv ist. Da der Speicherzugriff nicht überprüft wird, ist es Angreifern möglich, eine Datenmenge von bis zu 64 Kilobyte von der Gegenseite auszulesen. Betroffen sind alle Versionen von OpenSSL 1.0.1 mit Ausnahme der neusten Version OpenSSL 1.0.1g, die den ursächlichen Programmierfehler nicht mehr enthält.

Für den PSW-Geschäftsführer und Verschlüsselungsexperten Christian Heutger ist dieser Vorfall ein weiterer Beleg für die Notwendigkeit des Einsatzes von Perfect Forward Secrecy (http://blog.psw-group.de/knowledgebase-perfect-forward-secrecy-pfs/1120): Die SSL-Zusatzfunktion verhindert, dass bereits abgeschlossene aber verschlüsselt aufgezeichnete Kommunikation durch nachträgliches Bekanntwerden des privaten Schlüssels kompromittiert wird. "Im konkreten Fall wären die per OpenSSL verschlüsselten Daten demnach trotz der Sicherheitslücke weiterhin sicher. Sie könnten von Angreifern, die die Schwachstelle ausnutzen, um in den Besitz des Private Key zu kommen, nicht entschlüsselt werden", erläutert Christian Heutger.

Die PSW GROUP hat anlässlich der Sicherheitslücke eine aus dem deutschen Festnetz kostenfrei erreichbare Notfall-Hotline eingerichtet. Die Verschlüsselungsexperten des Unternehmens stehen Administratoren und Anwendern unter der 0800/503750-1 für Fragen zur Verfügung.


Honorarfreie Pressebilder (Bildquelle PSW GROUP):

www.presse-desk.com/shared/images/psw/heartbleed_bug (Sicherheitslücke in der Verschlüsselungsbibliothek kommt einem Super-GAU gleich)
www.presse-desk.com/shared/images/psw/logo-allgemein1.jpg (Logo PSW GROUP)
www.presse-desk.com/shared/images/psw/crew-heutger1.jpg (Christian Heutger)


Über die PSW GROUP

Die PSW GROUP ist ein Full-Service-Provider für Internetlösungen mit einem besonderen Schwerpunkt auf Internet Security. Als Dienstleister bietet das Unternehmen sowohl für den Webeinsatz als auch für die E-Mail-Kommunikation maßgeschneiderte Zertifikats-, Signatur-, Verschlüsselungs- und Authentifizierungslösungen an. Das Produktportfolio reicht dabei von SSL-Zertifikaten über Code Signing-Zertifikate bis hin zu S/MIME-Zertifikaten und De-Mail.

Als Partner aller namhaften Zertifizierungsstellen hat die PSW GROUP für jeden Anwendungsfall die passende Lösung. So finden sich auch Lösungen für Secure E-Mail, E-Mail-Security und E-Mail-Archivierung sich im Portfolio. Die Internetdienstleistungen werden komplettiert durch PDFlib-, Parallels-, Live-Config- und CloudLinux-Lizenzen zur Automatisierung und Virtualisierung von Geschäftsprozessen.

Neben der großen Produktvielfalt verfügt PSW über langjährige Expertise in den Bereichen Informationssicherheit, Informationsmanagement und Notfallmanagement. Mit ihrem tiefgreifenden und zertifizierten Fachwissen als Parallels Certified Automation and Virtualization Engineers, Symantec Sales Expert Plus, Sophos Certified Architects, IRCA ISO 27001 ISMS Lead-, Datenschutz- und IT-Security-Auditoren steht PSW Unternehmen beratend zur Seite. Zugleich wird ein umfassendes Schulungsangebot zur Weiterqualifikation bereitgestellt.

Internet: www.psw-group.de

Presse-Kontakt:

PSW GROUP GmbH & Co. KG
Flemingstraße 20-22
D-36041 Fulda

PresseDesk
Tel.: 030 / 530 47 73 - 0
E-Mail: psw-group@presse-desk.com




Hinweis: Für den Inhalt dieser Presse-Information ist ausschließlich deren Emittent verantwortlich. Bei Fragen zum Release-Net wenden Sie sich bitte an buero@release-net.de.