Was "Heartbleed" für Unternehmen bedeutet - Drei Tipps für Sicherheitsspezialisten

Langen (ots) - Die OpenSSL-Sicherheitslücke "Heartbleed" hat
Systemadministratoren auf der ganzen Welt verunsichert. Nach dem
Upgrade auf eine sichere OpenSSL-Version sollten Unternehmen
Kontrolle über die von ihnen eingesetzten Sicherheitslösungen
gewinnen und ihre Sicherheitsarchitektur überprüfen.

Das SSL-Protokoll zählt zu den meistverbreiteten
Sicherheitsprotokollen im Internet. Unzählige Webseiten und
Onlinehändler nutzen die quelloffene Software OpenSSL, um
verschlüsselte Verbindungen zu ermöglichen - etwa für den sicheren
E-Mail-Abruf, Onlinebanking und Onlineshopping. "Etwa die Hälfte
aller Unternehmen", berichtet Werner Thalmeier, Radwares Botschafter
für IT-Sicherheit in Europa, "nutzen Systeme, die durch Heartbleed
verwundbar sind. Entweder extern als Sicherheitslösung für ihr
HTTPS-Protokoll oder in ihren eigenen Intranet-Applikationen."

1. Schwachstelle schließen

Um die Schwachstelle zu schließen, sollten grundsätzlich alle
OpenSSL-Nutzer zunächst ein Upgrade auf Version 1.0.1g durchführen,
das die Entwicklergemeinde auf www.openssl.org zur Verfügung stellt.
Zusätzlich bietet Radware mit DefenseSSL und DefensePro eine
kommerzielle Lösung zum Schutz von HTTPS-Applikationen an, die
standardmäßig vor der OpenSSL-Schwachstelle Heartbleed schützt. Sie
sind als Module der Sicherheitslösung AMS (Attack Mitigation System)
erhältlich, die plattformübergreifenden Schutz vor Cyberangriffen
bietet.

2. Kontrolle behalten

Heartbleed macht deutlich, dass sich Unternehmen nicht blind auf
Sicherheitsaudits und -Überprüfungen Dritter verlassen dürfen. Jedes
Unternehmen muss sicherstellen, dass es die Risiken eingesetzter
Sicherheitslösungen versteht, eine zuverlässige
Sicherheitsarchitektur aufbaut und Penetrationstests durchführt oder
durchführen lässt, um deren Wirksamkeit zu überprüfen.

3. Sicherheitsarchitektur prüfen

In direkter Konsequenz von Heartbleed sollten Unternehmen ihre
Sicherheitsarchitektur einer genauen Prüfung unterziehen. "Web
Application Firewalls, Lösungen für Intrusion Prevention und Data
Loss Protection", erklärt Thalmeier, "bieten für sich alleine
genommen keinen perfekten Schutz. Im Rahmen eines mehrschichtigen
Ansatzes, auf dem auch unser Attack Mitigation System basiert,
gewähren sie gemeinsam jedoch die bestmögliche Sicherheit für
sensible Daten."

Weitere Informationen unter: www.radware.com

Pressekontakt:
Palmer Hargreaves GmbH (Office Berlin)
Matthias Longo
Urbanstraße 116 (Aufgang 7)
10967 Berlin
Tel. +49 (0)221 92 15 04 32
E-Mail: mlongo@palmerhargreaves.com
Internet: www.palmerhargreaves.com