F

Warum hält sich die Heartbleed-Sicherheitslücke so hartnäckig?

Trotz der großen Bekanntheit der Heartbleed-Sicherheitslücke existieren auch drei Jahre nach der Entdeckung immer noch viele nicht gepatchte Systeme.

Die Suchmaschine Shodan hat Anfang 2017 einen Bericht veröffentlicht, laut dem fast 200.000 mit dem Internet verbundene Dienste bis zu diesem Zeitpunkt keine Patches gegen die Heartbleed-Lücke in OpenSSL erhalten haben.

Der Großteil der betroffenen Services befindet sich in den USA und läuft mit dem Linux-Kernel 3.x. Für Deutschland weist dieser Bericht zum genannten Zeitpunkt immerhin noch rund 14.000 Systeme aus. Was bedeutet das, fast drei Jahre, nachdem der Patch veröffentlicht wurde? Und ist der wichtigste Grund dafür, dass diese Dienste immer noch nicht gepatcht wurden?

Das Internet wird immer wieder aus guten Gründen mit einer Jauchegrube verglichen. Unsichere Geräte bleiben länger damit verbunden, als man annehmen sollte. Es ist jedenfalls nicht verwunderlich, dass auch drei Jahre nach dem Entdecken der Heartbleed-Lücke immer noch nicht gepatchte Systeme existieren, obwohl das Thema eine breite Bekanntheit erreicht hatte. Es gibt sogar Meldungen über Neuinfektionen mit dem Conficker-Wurm – zehn Jahre nach seinem ersten Auftreten.

Obwohl der Heartbleed-Bug also immer noch im Internet auftritt, müssen die meisten Unternehmen keine weiteren Maßnahmen ergreifen – sofern diese die Lücke bei sich bereits geschlossen haben. Unternehmen sollten außerdem Druck auf Hersteller ausüben, nur noch sichere Produkte auszuliefern, die die Lücke nicht mehr enthalten.

Der wichtigste Grund dafür, dass die Heartbleed-Lücke immer noch zu finden ist, liegt an der Langlebigkeit mancher Dienste. Auch werden einige anders gemanagt als traditionelle IT-Systeme. Internet Service Provider sollten Systeme blockieren, die sich an Heartbleed-Attacken beteiligen. Dies kann allerdings zu unerwünschten Nebeneffekten führen, die seriöse Dienste und Unternehmen negativ beeinflussen.

Shodan scannt nur öffentlich zugängliche Systeme. Man kann also davon ausgehen, dass die Zahl von 200.000 betroffenen Diensten eine eher konservative Schätzung ist. Die Zahl umfasst zudem auch viele Embedded-Systeme, die OpenSSL nutzen, aber nicht über normale Update-Prozesse aktualisiert werden können oder die noch nie ein Update des Herstellers erhalten haben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Sicherheitsrisiko Open-Source- und Drittanbieter-Komponenten

Veraltete Open-Source-Komponenten gefährden kommerzielle Anwendungen

Die am häufigsten ausgenutzten Software-Schwachstellen

Der Heartbleed-Fehler in OpenSSL: Möglicherweise die gravierendste Security-Lücke der letzten Jahre

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Sicherheit von Webanwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close