Blog & News

Wir halten Sie auf dem Laufenden! Hinter den Kulissen tut sich immer viel. Wenn's was wirklich interessantes zu berichten gibt, dann steht's hier.

Atom Feed

zurück zum Blog

2014
11
Apr

Sicherheitsinfo: Heartbleed

Heartbleed-Bug

Heartbleed ist eine Sicherheitslücke in OpenSSL, die Montagnacht (MEZ), den 7.4.2014, bekannt wurde. Mithilfe dieser weitverbreiteten Krypto-Software verschlüsseln geschätzte zwei Drittel aller Server den Datenverkehr im Internet. Über die Schwachstelle war es Angreifern theoretisch möglich, Daten bis hin zum privaten Schlüssel des Server-Zertifikats auszulesen und abzugreifen.

Auch bei Onlime Webhosting setzten und setzen wir OpenSSL zur Verschlüsselung ein. Wir möchten Sie heute detailliert informieren, welche Sicherheitsmassnahmen wir zu welchem Zeitpunkt vorgenommen haben. Dieser Einblick kommt etwas verspätet. Bitte entschuldigen Sie. Alle technischen Massnahmen unsererseits erfolgten jedoch natürlich ungleich fixer, darauf konnten Sie und können Sie sich stets verlassen.

  • Von Heartbleed erfuhren wir Dienstagmorgen, den 8.4.2014, gegen 8:15 Uhr.
  • Sobald ein Sicherheitspatch für unsere Systeme (Debian Linux) verfügbar war, packten wir sofort alle notwendigen Updates an. Um 12:15 Uhr war der Sicherheitsfix auf allen Servern erfolgreich installiert.
  • Als zusätzliche Vorsichtsmassnahme forderten wir ein neues SSL-Zertifikat für Onlime (CN=*.onlime.ch) mit neuen Schlüsseln an. Alle Server wurden neugestartet und verwenden seit Mi, 9.4.2014 02:45 Uhr das neue Zertifikat. Das neue Zertifikat hat eine Gültigkeit bis 10.10.2016 und stammt von GeoTrust, Inc.
  • Wir selbst änderten alle internen Passwörter auf all unseren Systemen.

Bis jetzt sehen wir keine Anzeichen, dass der Bug böswillig genutzt wurde. Wenn Sie alle Eventualitäten ausschliessen möchten, empfehlen wir Ihnen die Durchführung der folgenden beiden Massnahmen:

  1. Ändern Sie sämtliche Passwörter via unser Controlpanel.
    Diese Option erreichen Sie unter Menüpunkt "Benutzerkonto", resp. direkt unterhalb der Mailkonten-Einstellungen, sofern Sie sich lediglich mit einem einzelnen Mailkonto anmelden.
  2. Aktivieren Sie die 2-Faktor-Authentifizieung im Controlpanel.
    Dies ist nur für Ihr Webabo-Login möglich, nicht für einzelne E-Mail-Konten.

Da OpenSSL von sehr vielen Diensten eingesetzt wird, denken Sie bitte auch an andere wichtige Dienste wie Webmail, die Sie einsetzen. Überprüfen Sie zuerst beispielsweise über diesen Test, ob der Dienst bereits gegen Heartbleed abgesichert ist. Falls ja, überprüfen oder fragen Sie nach, ob auch das SSL-Zertifikat aktualisiert wurde. Bei grünem Licht ändern Sie dann Ihre Passwörter.

Mashable hat die bisherigen Stellungnahmen prominenter Dienste zusammengetragen und versucht daraus abzuleiten, wo überall eine Passwortänderung nötig ist. Das wäre demnach unter anderem bei Dropbox, Facebook, Google und LastPass und Tumblr nötig.

Vielen lieben Dank für die Aufmerksamkeit.

11. April 2014 um 10:38