Am gestrigen Nachmittag wurde eine schwerwiegende Sicherheitslücke im OpenSSL-Library bekannt und via verschiedener Medien kommuniziert. Die Library implementiert diverse Standardprotokolle, die zur Verschlüsselung von Datenströmen im Internet verwendet werden. Dazu zählen unter anderem HTTPS oder auch SMTPS.
Unmittelbar nach der Bekanntgabe gestern Nachmittag wurden alle möglichen Problemfälle der durch Leuchter IT Solutions zur Verfügung gestellten Dienste evaluiert und eruiert. Es wurden alle Hersteller kontaktiert und vollumfänglich überprüft. Dabei können bereits folgende Feststellungen kommuniziert werden:
Es sind grundsätzlich keine Microsoft Produkte betroffen sind, da diese auf ihre eigene Library setzen. Dies bedeutet, dass Microsoft Lösungen wie Outlook Web Access oder ActivSync für die Synchronisation von SmartPhone‘s nicht betroffen sind. Gemäss aktuellem Kenntnisstand sind auch Citrix Lösungen wie das Access Gateway nicht betroffen da diese auf Microsoft Produkte aufbauen.
Betroffen hingegen ist das SSL-VPN der FortiNet FireWall. Unsere Abklärungen mit dem Hersteller haben ergeben, dass heute Nacht ein Update bereitgestellt wird um die Sicherheitslücke zu schliessen. Wir werden im Verlaufe des Tages das Vorgehen planen und sämtliche Kunden mit FortiNet-Produkten direkt kontaktieren und über die weitere Vorgehensweise informieren.
Zwischenzeitlich empfehlen wir allen Internet-Nutzern auf die Nutzung von SSLVPN, sofern nicht zwingend erforderlich, zu verzichten. Analog der Melde- und Analysestelle Informationssicherung MELANI des Bundes empfehlen wir mindestens die nächsten 48 Stunden generell auf verschlüsselte Transaktionen im Internet zu verzichten. Bis dann sollten die grossen Institutionen die Sicherheitslücke geschlossen haben. Bei kleinen Anbietern von WebShops kann dies jedoch länger dauern.
Sollten sich neue Erkenntnisse abzeichnen, dann werden wir in den News informieren. Bei zwischenzeitlichen Fragen kontaktieren Sie bitte unseren Servicedesk unter 041 226 50 47.
