Am 7. April 2014 wurde der Bug „Heartbleed“ offiziell bekannt gegeben.

Bei diesem Bug handelt es sich um eine Sicherheitslücke im weit verbreiteten OpenSSL (Secure Socket Layer) Protokoll. Weltweit sind daher von diesem Bug rund 500‘000 Server und andere Geräte betroffen.

Durch diesen Bug war es Angreifern möglich, auf Daten, die sich gerade im Speicher des jeweiligen Geräts befinden, zuzugreifen. Dies betrifft auch Zugangsdaten inkl. Passworten im Klartext. Ein solcher Angriff kann (durch die Art des Fehlers bedingt) im Nachhinein nicht einmal nachgewiesen werden.

Daher lässt sich nicht eruieren, ob und wie gross ein eventueller Schaden tatsächlich ist.

Wie weit betrifft dies einen jeden von uns, resp. speziell unsere Kunden?

Die von uns vertriebene Handelsware (Firewalls, VPN-Software etc.) ist sämtlich nicht von dem Bug betroffen. 

Unsere Web- und Mailserver waren hingegen betroffen, wurden jedoch bereits am 8. April 2014 gepached und sind damit seit diesem Moment wieder sicher.

Auch sämtliche administrativen Passworte wurden zwischenzeitlich gewechselt.

Da niemand sagen kann, ob ein Zugriff überhaupt stattgefunden hat und ob dadurch tatsächlich Zugangsdaten in die falschen Hände fielen, kann ich folgendes nur empfehlen:

• Bei Kunden mit typo3-Auftritt: Wechsel aller typo3-Zugangsdaten
• Bei Kunden mit Mailaccounts: Wechsel aller Mail-Passworte

Die entsprechende Beschreibung ist seit heute hier zu finden.

Daneben empfehle ich, Passworte bei Banken, bei allen Online Shops, Fluggesellschaften, etc. und bei allen sozialen Netzwerken so bald als möglich zu wechseln.

Ja, es betrifft sogar die Schweizer Banken – mit wenigen Ausnahmen, wie Raiffeisen, Postfinance, Sarasin, Migros Bank, UBS und den Kantonalbanken von Luzern, St. Gallen, Baselland, Thurgau und Graubünden.

Es kann sich daher lohnen, eher etwas übervorsichtig zu sein.

Wenn Sie die Umstellung der Mail- und/oder typo3-Passworte lieber durch uns machen lassen möchten, können wir das natürlich auch erledigen. Serverseitig verrechnen wir je Applikation und Domäne (Mail / typo3) pauschal 10.--, egal, wie viele Zugänge betroffen sind. In dieser Pauschale ist die Umstellung der Mailclients NICHT inbegriffen und wird bei Bedarf zum normalen Stundentarif nach Aufwand verrechnet.

Da wir keine Passworte per Mail versenden, muss auf dem Auftrag zwingend eine Handy-Nummer angegeben werden, damit wir das/die Passwort(e) per SMS versenden können.

Die Passwortmutation findet in diesem Fall am Montag, 14.4.2014 statt.