"Heartbleed Bug": Informationssicherheit und Vertrauen bleiben Prioritäten für ein sicheres Internet
ID: 1045879
Es ist bedauerlich, dass mit OpenSSL momentan eine Verschlüsselungssoftware Schlagzeilen macht, für die vorübergehend scheinbar zu gelten scheint, dass auf sie zu verzichten sicherer sei, als sie zu nutzen. Bei OpenSSL handelt es sich um eine Open-Source-Implementierung des TLS-Protokolls. In OpenSSL wurde ein Fehler entdeckt, der als "Heartbleed Bug" bezeichnet wird. Durch diesen Fehler gibt eine OpenSSL-Instanz Daten preis, die normalerweise weder verschlüsselt noch unverschlüsselt sichtbar sind. TLS sieht eine Funktion namens ?Heartbeat? vor. Mit dieser können sich Rechner gegenseitig Leernachrichten zuschicken, um damit anzuzeigen, dass alles in Ordnung ist. Mit einer entsprechend zusammengesetzten Nachricht kann ein Angreifer eine OpenSSL-Instanz dazu veranlassen, in einer vermeintlichen Leernachricht 64 KByte aus dem Hauptspeicher zu liefern. Darin kann eine E-Mail, ein Text oder sonst etwas enthalten sein - im schlechtesten Fall auch ein geheimer Schlüssel oder ein Passwort.
Klaus Schmeh, cryptovision und Kryptografie-Experte des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) kommentiert: "Das TLS-Protokoll selbst ist nicht fehlerhaft. Es wurde im Fall von OpenSSL nur falsch implementiert. Die Verschlüsselung, die das TLS-Protokoll durchführt, ist vom Heartbleed-Bug nicht betroffen (abgesehen davon, dass man damit an den Schlüssel herankommen könnte). Fehler wie den Heartbeat Bug hat es schon viele gegeben. Meist waren Programme betroffen, die nichts mit Kryptografie zu tun haben. Wenn ein Speicherzugriff nicht sauber programmiert ist, dann kann dies ein Einfallstor für Hacker sein. Der Heartbleed Bug war für die OpenSSL-Entwickler leicht zu korrigieren - ein paar zusätzliche Codezeilen genügten. Die korrigierte Version ist längst verfügbar."
Gerade vor dem Hintergrund des OpenSSL Bug gilt die Empfehlung von Sicherheitsexperten wie Bruce Schneier: "Je besser wir verschlüsseln, desto schwieriger wird es für diverse Schnüffler, uns zu überwachen - auch wenn nicht jede Verschlüsselung zu 100 Prozent sicher ist."
TeleTrusT - Bundesverband IT-Sicherheit e.V.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Engineer for System Security" (T.E.S.S.) sowie des Qualitätszeichens "IT Security made in Germany". Hauptsitz des Verbandes ist Berlin. TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI).
Unternehmensinformation / Kurzprofil:
TeleTrusT - Bundesverband IT-Sicherheit e.V.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Experten, organisiert Veranstaltungen bzw. Veranstaltungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Expertenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Engineer for System Security" (T.E.S.S.) sowie des Qualitätszeichens "IT Security made in Germany". Hauptsitz des Verbandes ist Berlin. TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI).
Datum: 10.04.2014 - 18:02 Uhr
Sprache: Deutsch
News-ID 1045879
Anzahl Zeichen: 3395
Kontakt-Informationen:
Stadt:
Berlin
Kategorie:
Internet-Portale
Diese Pressemitteilung wurde bisher 270 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
""Heartbleed Bug": Informationssicherheit und Vertrauen bleiben Prioritäten für ein sicheres Internet"
steht unter der journalistisch-redaktionellen Verantwortung von
TeleTrusT - Bundesverband IT-Sicherheit e.V. (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
In mehreren europäischen Ländern verfolgen die nationalen Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquelle
Fraunhofer SIT tritt mit "Volksverschlüsselung" dem TeleTrusT-PKI-Vertrauensverbund European Bridge CA bei ...
Vertrauensverbund European Bridge CA des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) bei. Der Beitritt ermöglicht Bürgern die verschlüsselte E-Mail-Kommunikation zu Unternehmen, Banken und Institutionen. Fraunhofer SIT und TeleTrusT schaffen eine weitere Vertrauensbrücke, um auch die öffentl
TeleTrusT - Bundesverband IT-Sicherheit e.V.: Neuer Vorstand ...
Auf der Jahresmitgliederversammlung 2018 mit einer Rekordzahl an Teilnehmern zog der Bundesverband IT-Sicherheit e.V. (TeleTrusT) positive Bilanz und stellte die Weichen für Aktivitäten im Jahr 2019. Mit kontinuierlichem Zuwachs an Neumitgliedern verzeichnet der Verband mit jetzt 335 einen neuen H
Weitere Mitteilungen von TeleTrusT - Bundesverband IT-Sicherheit e.V.
"Heartbleed Bug": Informationssicherheit und Vertrauen bleiben Prioritäten für ein sicheres Internet ...
Informationssicherheit und Vertrauen in sichere Kommunikation müssen Priorität haben. Sichere Verschlüsselung ist essentiell für das Grundvertrauen im Internet. Die OpenSSL Lücke muss schnell geschlossen und SSL als Default gewählt werden. Es ist bedauerlich, dass mit OpenSSL momentan
Virtual Server auf der Basis von Intel® Markenhardware. Das gibt es nur bei Keyweb. ...
Für professionelle Webprojekt-Anwender, die besonders hohe Anforderungen an Leistungsstabilität und Datendurchsatz ihres Virtual Servers haben, gibt es die nagelneuen Root Virtual Server von Keyweb ab sofort in vier verschiedenen Angebotskonfigurationen. Als unschlagbar preiswerter Einsti
SBR unterstützt mit seinem Gemeinde-Check den Breitbandausbau im ländlichen Raum ...
Im ländlichen Raum ist eine gute Breitbandinfrastruktur von entscheidender Bedeutung. Durch die Weiterentwicklung neuer, digitaler Anwendungen (Teleworking, eGovernment...) lokal vor Ort kann Abwanderungstendenzen entgegengewirkt werden. Die flächendeckende Internet-Verfügbarkeit ist ein
Die neue App?Tech Start-ups Bayern? ...
Eine neue App zeigt auf Smartphones und Tablets, was Bayerns Technologie Start-up Szene zu bieten hat: ?Tech Start-ups Bayern? wurde auf Initiative des Bayerischen Staatsministeriums für Wirtschaft und Medien, Energie und Technologie von den beiden Start-up-Institutionen netzwerk nordbayern und ev
