Für eine sichere Sharing Economy

Der OpenSSL Heartbleed Bug  hat  viele  Internet­Nutzer  verunsichert ­  gerade  als Startups  und teilweise  noch  relativ  unbekannte  Unternehmen  der  Sharing  Economy  betrifft  uns  dies,  ob  wir wollen  oder  nicht.  Vertrauen  ist  in  jedem  Teil­/Miet­  und  Verkaufsverhältnis  von  zentraler Bedeutung. Wir tun also gut daran, dieses Vertrauen immer wieder zu stärken.

Sharing is Caring!

heartbleed

Sharecon empfiehlt

Wir empfehlen unseren Mitgliedern nochmals sicherzustellen, dass folgende Massnahmen durchgeführt wurden.

Zwingend notwendige Massnahmen

1. Server­Software auf den neusten Stand bringen

Sofern  OpenSSL  installiert  ist:  Auf  allen  Servern  sollte  zumindest  die  neusten  Version  von OpenSSL installiert sein (>= 1.0.1g).

2. Sicherheits-­Zertifikate und geheime Schlüssel ersetzen

Der Heartbleed Bug hatte zur Folge, dass Zertifikate mit den zugehörigen privaten Schlüsseln von Angreifern möglicherweise ausgelesen wurden. Ist ein Angreifer im Besitz der Schlüssel, kann er jede vermeintlich sichere Verbindung abhören bzw. auch im Nachhinein noch entschlüsseln und so im schlimmsten Fall an übermittelte Passwörter und persönliche Nutzerdaten gelangen.

Deshalb: Waren Zertifikate auf Servern mit dem OpenSSL Bug installiert, gelten diese Zertifikate und Schlüssel prinzipiell als unsicher und  sollten deshalb gesperrt und ausgetauscht werden – selbst wenn die Wahrscheinlichkeit für einen Diebstahl sehr gering erscheint.

 

Massnahmen im Ermessensspielraum

1. Information für die Nutzer

Es  bleibt  jedem  Anbieter  selbst  überlassen,  ob  er  seine  Nutzer  informieren  möchte.  Weil  der Heartbleed  Bug  auch  in  den  Tagesmedien  diskutiert  wurde,  empfiehlt  sich  gerade  bei vertrauenskritischen Anwendungen die Information an Benutzer. Zumindest sollte verunsicherten Benutzern eine Anlaufstelle angeboten werden, ihre Fragen zu platzieren.

Aufruf zum Ändern von Passwörtern

Beim  nächsten  Login  sollten  Nutzer  nach  Möglichkeit  auf  die  getroffenen  Massnahmen aufmerksam  gemacht  werden.  Die  Empfehlung,  das  eigene  Passwort  von  Zeit  zu  Zeit  als allgemein  gültige  Vorsichtsmassnahme  zu  ändern  kann,  ist  auch  ohne  Bezug  zu  Heartbleed sinnvoll.

 

Diese Empfehlungen  wurden  freundlicherweise  zusammengestellt  von Patrick  Senti,  CTO von shrebo,  Kontakt: patrick.senti@shrebo.ch

Advertisements