15.10.2014
Sicherheitslücke
SSL-Lücke Poodle ermöglicht Angriffe
Autor: Stefan Bordel
Foto: Shutterstock - Ai825
Das Google Security Team hat eine schwere Sicherheitslücke (Codename Poodle) im Sicherheitsprotokoll SSL 3.0 entdeckt, die Angreifern erlaubt Cookies zu klauen und Online-Konten zu übernehmen.
Google Security Team in einem Blogeintrag mitteilt, erlaubt eine kritische Sicherheitslücke im veralteten Sicherheitsprotokoll SSL 3.0 Hackern das Abgreifen von Sitzungs-Cookies und Online-Konten. Der Fehler trägt den Namen Poodle (engl. Pudel) und betrifft ausschließlich das 15 Jahre alte Sicherheitszertifikat SSL 3.0.
Wie das Trotz des hohen Alters wird das Zertifikat noch von vielen Webseiten verwendet, weshalb die Lücke als kritisch einzustufen ist. Außerdem unterstützen nahezu alle Browser und Server das Zertifikat um die Kompatibilität im Netz zu gewährleisten.
Zudem können Angreifer den Browser auf manipulierten Webseiten über Verbindungsfehler dazu zwingen auf das unsichere Zertifikat zu wechseln. Steht dann die SSL-3.0-Verbindung, missbrauchen die Hacker
Poodle um Nutzer-Daten zu stehlen. Besonders gefährlich ist das etwa bei der Verwendung von Online-Banking.
Wie schütze ich mich vor Poodle?
Prinzipiell muss zum Schutz lediglich die SSL-3.0-Unterstützung im Browser deaktiviert werden. Dies kann bei manchen wenigen Webseiten zwar zu Kompatibilitätsproblemen führen, ist aber derzeit der einzige Schutz vor Poodle bis die Browser-Hersteller nachgebessert haben.
Hierzu öffnen Sie in Firefox die Browser-Konfiguration über die Eingabe "about:config" in der Adresszeile und suchen anschließend nach der Option "security.tls.version.min". Setzen Sie dort den Wert auf 1 und bestätigen Sie die Eingabe mit Ok.
Im Internet Explorer finden Sie die SLL-Konfiguration unter "Einstellungen" und "Internetoptionen". Öffnen Sie hier den Reiter "Erweitert" und entfernen Sie den Haken bei "SSL 3.0 verwenden". Die Änderung speichern Sie per Klick auf "Übernehmen". Beim veralteten
Internet Explorer 6 ist dies hingegen nicht möglich, hier hilft nur ein Update.
Für Google Chrome ist die Umstellung nicht ganz so komfortabel vorzunehmen. Erstellen Sie zunächst eine neue Chrome-Verknüpfung auf dem Desktop und benennen Sie diese etwa "Chrome ohne SSL3.0" um später die modifizierte Verknüpfung einfacher zu erkennen.
Nun öffnen Sie die Eigenschaften der neuen Verknüpfung via Rechtsklick. Unter dem Reiter "Verknüfung" geben Sie hierauf in der Ziel-Leiste den Zusatz "-ssl-version-min=tls1" am Ende des Dateipfades ein. Die Änderung speichern Sie per Klick auf "Übernehmen".
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>