Heartbleed: Aufräumen wird Monate dauern
Kasper Lindgaard, Leiter der Forschung beim Sicherheitsunternehmen Secunia, vertritt die Ansicht, es werde Monate dauern, bis alle betroffenen Geräte gegenüber Heartbleed abgesichert sind. Der Heartbleed-Bug betrifft nicht nur Webserver sondern auch Router und andere Netzwerktechnik sowie insbesondere Unternehmen.
Im Bereich Software sind VPN- sowie VoIP- und Messaging-Apps betroffen, zudem eine große Anzahl von Smartphones, die unter Android 4.1 laufen. Laut Lindgaard sind viele Firmen mit einem reichhaltigen Software-Angebot auf Aufholjagd, um die Lücke in allen Produkten zu schließen. Lobend für die offene Herangehensweise in dieser Sache erwähnt der Forscher das Unternehmen Cisco und die ansonsten selten für die Sicherheit ihrer Produkte gelobte Softwareschmiede Oracle. Beide haben ein breites Repertoire an betroffener Software und informieren die Öffentlichkeit vorbildlich und zeitnah, so Lindgaard.
So hat Cisco 44 seiner Produkte als von der Lücke betroffen identifiziert, bei weiteren 68 Produkten ist die Untersuchung noch nicht abgeschlossen. Repariert sind bislang lediglich eine Handvoll. Auch Oracle hatte bereits vor Ostern eine Webseite mit einer Klassifizierung seiner Produktpalette geschaltet, die für jedes Produkt aufzeigt, ob es betroffen war oder nicht und wenn ja, ob es bereits einen Patch gibt.
Andere Firmen hingegen verfahren laut Lindgaard nach dem Prinzip „Security through Obscurity“, indem sie für die Öffentlichkeit relevante Informationen im Kleingedruckten oder gar hinter Passwörtern verstecken. Dies verhindert laut dem Secunia-Experten, das wahre Ausmaß der Schäden zu beziffern und erlaubt es Betroffenen nicht, die Auswirkungen auf ihre Infrastruktur korrekt einschätzen zu können. Wer glaubt, so Lindgaard, durch Verschweigen einem Angriff unter Ausnutzung der Lücke zu entgehen, der täusche sich. Angreifer würden in nächster Zeit automatisch auf Heartbleed testen.
Secunia ordnet Heartbleed auf seiner eigenen Gefahrenskala mit neun von zehn möglichen Punkten ein. Die höchste Stufe sei nicht erreicht, da die Lücke nicht zur Ausführung von Schadcode aus der Entfernung herangezogen werden kann. Insgesamt schätzt Secunia die Zeit bis zur breitflächigen Reparatur der Lücke auf „eher Monate als Wochen“.