Heartbleed-Bug: Katastrophe für die Geschäftswelt

(openPR) Hacker haben 4,5 Millionen Patientendaten der US-Krankenhauskette Community Health Systems gestohlen. Zugang verschafften sie sich über die Sicherheitslücke Heartbleed und das wohl schon zwischen April und Juni. Doch erst jetzt wird das Ausmaß allein dieses Angriffs greifbar, während die meisten Vorfälle wohl unentdeckt bleiben.

Sicherheitsexperten warnen vor den beachtlichen Auswirkungen. Auch Wolfgang Honold, Mitglied im Vorstand der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. und verantwortlich für die SAP-Anwenderfirmen in Österreich, weiß um die Schwachstelle. Er appelliert an Betroffene, das Problem umgehend zu beheben und Vorkehrungen für die Zukunft zu treffen. „Das ist eine Katastrophe für Unternehmen, die täglich OpenSSL-Zertifikate nutzen“, so Wolfgang Honold, Vorstand der SAP-Anwender in Österreich. Er sieht tausende Server noch immer gefährdet. Laut SBA Research sind ca. 65 Prozent der betroffenen IP-Adressen noch nicht oder nur unzureichend aktualisiert. Dabei lässt sich die Lücke durch die korrekte Neuausstellung des SSL-Zertifikats und die Neugenerierung des Schlüsselmaterials schnell beheben. Es stellt sich die Frage, warum in vielen Fällen die Unternehmens-IT nicht ausreichend geschützt ist und sensible Daten über Monate ausgespäht werden können. „Müssen wir die Schuld für einen Bug wie Heartbleed als Nutzer von OpenSSL nicht zuerst bei uns selbst suchen?“, fragt Honold. „Open-Source ist nicht anfälliger für Fehler als geschlossene Entwicklungen. Wir verlassen uns jedoch darauf, dass andere unsere Hausaufgaben machen.“

Heartbleed entpuppt sich als Achillesferse moderner, scheinbar sicherer Webserver. Es handelt sich um einen kleinen Fehler in der Entwicklung, der in einer Open-Source-Lösung jedoch von jedem gefunden werden kann, der danach sucht. Die Sicherheitslücke Heartbleed zeigt, wie anfällig unsere Daten sind. Potenziell hoch sensible Informationen, die unter normalen Umständen verschlüsselt oder gar nicht übermittelt werden würden, lassen sich einfach auslesen. Betroffen sind E-Mail-, Chat-, Datenbank-Server, VPN-Systeme, Firewalls und Gateways sowie Router – also Kommunikationsmittel, die Millionen Menschen täglich nutzen. Passwörter, Kontodaten oder auch Sitzungsinformationen wurden gestohlen.

Herr Honold, noch immer grassiert Heartbleed in Österreich. Was bedeutet das für die Unternehmen?
Honold: Für Unternehmen, die täglich OpenSSL-Zertifikate nutzen, ist das eine Katastrophe. Jeder Webserver kann betroffen sein und somit jeder Kontakt mit Geschäftspartnern und Kunden zur potenziellen Gefahr werden. Kein sonderlich schöner Ausblick.

Nein, wirklich nicht. Was ist also zu tun?
Honold: Wenn jedes Unternehmen auf die Behebung des Bugs durch andere wartet, ist niemandem geholfen, selbst wenn es sich hier um Open-Source handelt. Die IT-Verantwortlichen in den Unternehmen müssen selbst aktiv werden und Fehler entdecken, bevor diese zum Heartbleed werden. Der beste Schutz sind saubere Programmierungen und der verantwortungsvolle Umgang mit den eigenen Daten.

Das sagt sich jetzt so leicht. Hinterher ist man immer schlauer.
Honold: Wer schlau ist, kümmert sich vorher. Das bedeutet, wir stellen funktionierende Systeme immer wieder auf den Prüfstand. Denn nicht nur im Fußball gilt „Angriff ist die beste Verteidigung“. Nur wer immer wieder einen Bug simuliert, kann frühzeitig die Lücke schließen.

Sie sprechen ja für die SAP-Anwender in Österreich. Hat Heartbleed etwas mit SAP zu tun?
Honold: Nein, nicht immer ist SAP an allem schuld (lacht). Sie müssen sich das so vorstellen. Sie bauen sich ein Haus, also Ihre IT-Infrastruktur mit SAP. Das Gebäude statten Sie mit allem aus, was Einbruchsicherheit verspricht, vergessen aber vor dem Urlaub die Balkontür zu schließen. Nur, weil Sie sich beim letzten Rundgang vor der Abreise auf den anderen verlassen haben.

Österreichs Unternehmen sollen sich also an die eigene Nase fassen. Warum sagen Sie das als DSAG?
Honold: Wir verstehen uns als Schaltstelle zwischen Unternehmen und SAP, indem wir Geschäftsprobleme thematisieren und, wenn möglich, Lösungen im SAP-Standard initiieren. Im Fall von Heartbleed überlegen wir natürlich auch, ob es einen Schutzmechanismus über den Standard hinweg geben könnte. Das lässt sich aber nicht von heute auf morgen realisieren. Deshalb machen wir darauf aufmerksam, dass jedes Unternehmen zuerst seine Hausaufgaben erledigen muss und dann nach Lösungen anderer Ausschau halten kann.

Wolfgang Honold ist Mitglied im Vorstand der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. und verantwortlich für die SAP-Anwenderfirmen in Österreich. Als CIO der Getzner-Gruppe in Bludenz kennt er die tagtäglichen Belange sowohl von SAP-Usern als auch der SAP-einsetzenden Unternehmen. Dazu zeichnet Wolfgang Honold für Interregio-Kontakte zwischen Deutschland, Österreich und der Schweiz verantwortlich.

Die Meldung der DSAG ist abrufbar unter: http://www.dieleute.de/dsag-presse/heartbleed-bug.html.