DROWN-Sicherheitslücke: ein potenzielles Risiko für 11 Mio Websites – auch für Ihre?

29. März 2016

2 Min. Lesezeit

Ein neuer Angriff auf die Datenübertragung im Internet gefährdet 11 Millionen Webserver. Hier erfahren Sie alles Wissenswerte zu dieser Sicherheitslücke und wie Sie dagegen vorgehen können.

DROWN-Sicherheitslücke: ein potenzielles Risiko für 11 Mio Websites – auch für Ihre? (Desktop)

Sicherheitslücken treten immer wieder auf. Und von solchen Hacker-Angriffen auf Millionen vertraulicher Daten sind auch zahlreiche bekannte Adressen wie das Onlineportal Ashley Madison oder der britische Provider TalkTalk betroffen. Allerdings ist damit vielleicht noch nicht das Ende der Fahnenstange erreicht.

Laut einem Forscherteam von Sicherheitsexperten, das diese Sicherheitslücke aufgedeckt hat, sind ein Drittel aller sicheren Webserver von dem neuen SSL-Angriff bedroht. Das Forscherteam hat eine Website mit einer Liste der betroffenen Server ins Netz gestellt, die Sie über diesen Link abrufen können. Andere Schätzungen gehen davon aus, dass bis zu 11 Millionen Websites von dem Angriff betroffen sein könnten.

DROWN ist ein Akronym für „Decrypting RSA with Obsolete and Weakened eNcryption“ und wird von einigen als noch gefährlicher als der Heartbleed-Bug eingestuft, der vor zwei Jahren neben Zehntausenden Servern auch große Einrichtungen wie die kanadische Finanzbehörde und die Datenarchive eines der größten US-Krankenhausbetreiber infiltrierte.

Veraltete Verschlüsselung öffnet DROWN die Türen

Einfach ausgedrückt handelt es sich bei DROWN um einen Cross-Protokoll-Angriff, der eine Schwachstelle, in der aus den 90er-Jahren stammenden Verschlüsselungstechnologie SSLv2 zur Entschlüsselung neuerer Protokollversionen wie TLS (Transport Layer Security), nutzt.

Schlüssel sind die Ursache für die DROWN-Sicherheitslücke. Insbesondere IT-Administratoren konfigurieren Sicherheitsserver mit ein und demselben privaten RSA-Schlüssel, den sie auch zur Verschlüsselung von über ein Netzwerk übertragenen Daten verwenden, und das, obwohl eines der Protokolle (SSLv2) erheblich unsicherer ist als das andere. Das ist ungefähr so, als würde man ein und denselben Schlüssel für die Haustür und den Türriegel am Seiteneingang verwenden.

Die Lösung

Die gute Nachricht ist, dass das Forscherteam den Code für den DROWN-Angriff erst nach dem Upgrade weiterer Server bekanntgeben wird. Ist Ihr Server betroffen? Auf dieser Website können Sie es nachprüfen.

In der Zwischenzeit hat das OpenSSL Development Team, das für die Entwicklung einer Vielzahl an sicheren Softwarebibliotheken für Webserver – darunter vielleicht auch Ihrer – verantwortlich ist, ein Update veröffentlicht, mit dem nicht nur DROWN-Angriffe vereitelt, sondern auch kleinere Sicherheitslücken behoben werden, die Möglichkeiten für weitere schädliche Angriffe bieten, wenn auch mit weitaus weniger gravierenden Folgen.

Prüfen Sie den aktuellen Stand Ihres gesamten Netzwerks und deaktivieren Sie das SSLv2-Protokoll überall“, empfiehlt Jan Schaumann, IT-Sicherheitsexperte und Honorarprofessor für Informatik am Stevens Institute of Technology. Auch ein besonders vorsichtiger Umgang bei der Wiederverwendung von Sicherheitszertifikaten zahlt sich aus, da Hacker oftmals auf lax umgesetzte Sicherheitsvorschriften setzen.

Die Hacker gewinnen auf ganzer Linie

Gerade mit DROWN-Angriffen konnte das Forscherteam einige Websites sogar in weniger als einer Minute auf einem Single-CPU-Computer knacken.

Nutzt man für den Angriff die GPU-beschleunigte EC2-Cloud von Amazon, belaufen sich die Kosten auf etwa 440 USD. In beiden Fällen kann sich das jedoch für Hacker, die die richtigen Server angreifen, entsprechend auszahlen.

„Es wird immer schwerwiegende Schwachstellen geben“, meint Schaumann.

“Wenn sie jedoch in Software auftreten, die in einem solch großen Umfang eingesetzt wird und die ein wesentlicher Bestandteil für die Funktionalität des Internets und der darauf beruhenden Wirtschaft ist, dann nehmen die Auswirkungen schnell ein immer größeres Ausmaß an.”
Drucken