Newsletter 2014-04 - OpenSSL Sicherheitslücke und VDS
Liebe Teilnehmerinnen und Teilnehmer, aus aktuellem Anlass wollen wir euch über folgende, wichtige Themen informieren:
- Heartbleed - große SSL-Sicherheitslücke
- Vorratsdatenspeicherung auf EU-Ebene gekippt
Heartbleed - große SSL-Sicherheitslücke
Am Dienstag früh wurde eine große Sicherheitslücke in der Software OpenSSL bekanntgegeben, genannt Heartbleed. Die Folge davon war, dass von jedem betroffenen System private Informationen wie der geheime Schlüssel und gegebenenfalls Passwörter und Daten aus dem Speicher ausgelesen werden konnten. Wir haben die Software auf den betroffenen Servern bereits am Dienstag früh aktualisiert. Dennoch ist nicht auszuschließen, dass die Schlüssel kompromitiert wurden. Daher haben wir sämtliche Zertifikate der nachfolgenden Dienste ausgetauscht:
- E-Mail (POP3, IMAP4, SMTP)
- Webmail
- WebDAV
- Wiki
- Jabber
- UUCP Webmail
Durch die Sicherheitslücke ist auch nicht auszuschließen, dass gegebenenfalls Passwörter unverschlüsselt übertragen wurden. Auch wenn die Chance gering ist, dass das im einzelnen Fall mitgelesen wurde, empfehlen wir euch, eure E-Mail-, SSH- und Jabber-Passwörter zurückzusetzen. Bei den SSH-Passwörtern ist es nur relevant, wenn ihr den WebDAV-Zugriff genutzt habt. Wie man Passwörter ändern kann und worauf man bei der Erstellung von Passwörtern achten sollte, steht im Wiki.
Von der Sicherheitslücke betroffen sind auch Client-Systeme auf denen eine betroffene libssl verwendet wird. Prüft bitte bei eurer Distribution beziehungsweise eurem Betriebssystem- oder Applikations-Hersteller, ob Updates zur Verfügung stehen und installiert diese.
Vorratsdatenspeicherung auf EU-Ebene gekippt
Doch der Dienstag war nicht nur ein schlechter Tag… Im Jahre 2007 informierten wir euch schon über die Problematik der Vorratsdatenspeicherung (VDS) und unterstützten die Sammelklage des Arbeitskreis Vorratsdatenspeicherung. Das Unternehmen glückte, und das Bundesverfassungsgericht befand die deutsche VDS als gegen die Grundrechte verstoßend. Damit war die VDS zwar in Deutschland Geschichte, aber in anderen EU-Ländern war sie weiterhin Realität.
Vor wenigen Tagen wurde auf EU-Ebene das gleiche erreicht: Der Europäische Gerichtshof urteilt, dass die EU-Richtlinie zur VDS gegen die Grundrechte verstößt und damit zurückgenommen werden muss.
Auch wenn sich das vorerst gut anhört, kann man sich sicher sein, dass das nicht das Ende der Geschichte ist. Diverse (auch deutsche) Politiker haben angekündigt, die VDS trotzdem durchsetzen zu wollen. Und man kann sich sicher sein, dass auch auf EU-Ebene weiterhin versucht werden wird, die VDS wieder einzuführen. Doch einen Etappensieg hat das freie Internet damit schon mal errungen!