Seit Gestern geht die Meldung durch alle Medien, dass es eine schwerwiegende Sicherheitslücke gibt, die die Verschlüsselung von Webseiten betrifft, den sogenannten "Heartbleed-Bug". Es handelt sich dabei um einen Fehler in dem Verschlüsselungsprogramm OpenSSL, das eigentlich die sichere Kommunikation mit Webseiten gewährleisten soll. Durch den Fehler können nun vermeintlich sichere Daten, wie z.B. Nutzerdaten, Zertifikate aber auch Inhalte wie z.B. E-Mails gestohlen werden. Da diese Technik insbesondere für die Übermittlung sensibler Inhalte auf vielen Webseiten weltweit verwendet wird, sind die Auswirkungen gravierend.

Die BIS-Anwendungen sind glücklicherweise von diesem Problem nicht betroffen, da wir für die Verschlüsselung unserer passwortgeschützten Bereiche eine OpenSSL-Version verwenden, die den Fehler nicht enthält.

Für weiterführende Informationen empfehlen wir diesen Artikel: heise security "Der GAU für Verschlüsselung im Web"