Navigieren auf SBB.ch

Direktlinks

«Heartbleed»: Sicherheitsleck in Verschlüsselungssoftware Open SSL.

Seit Dienstag ist bekannt, dass die populäre Verschlüsselungs-Software «Open SSL» einen schwerwiegenden Programmierfehler aufweist (Heartbleed). Vermeintlich sichere Daten können somit über das Internet von Dritten eingesehen werden. Die SBB hat sehr rasch reagiert und bereits am Dienstag Nachmittag die betroffenen, kritischen Systeme korrigiert.

Sicherheitsleck in Verschlüsselungssoftware Open SSL.

Das Sicherheitsprotokoll «Open SSL» (Secure Socket Layer) sollte eigentlich für eine geschützte Verbindung zwischen einem Internetnutzer und Servern im Internet sorgen: Mit einer Verbindung, die in der Adresszeile des Browsers mit «https://» statt mit «http://» gekennzeichnet ist, sollten Passwörter und andere geheime Daten sicher sein.

Wie in den letzten zwei Tagen in diversen Medien berichtet wurde, weist die Verschlüsselungs-Software ihrerseits gravierende Sicherheitsmängel auf. Der Programmierfehler namens «Heartbleed» verursacht ein Leck im Sicherheitsprotokoll, wodurch verschlüsselte Daten unbemerkt von Dritten eingesehen werden können. Ein Angreifer kann Schlüssel, Passwörter und andere Daten lesen, die sich gerade im Speicher eines Rechners befinden. Gemäss der Beschreibung der Entdecker gelang es in Tests auf diesem Weg die geheimen Schlüssel eines Server-Zertifikats, Usernamen, Passwörter und auch verschlüsselt übertragene Daten wie E-Mails zu lesen.

Die zentralen Systeme bei der SBB sind sicher.

Auch bei der SBB wird die Standard-Lösung Open SSL eingesetzt. Weil jedoch sehr rasch gehandelt wurde, waren bereits am Dienstag Nachmittag die betroffenen kritischen Systeme korrigiert. Die restlichen zentralen Systeme mit Internetverbindung sind seit spätestens gestern Mittwoch gesichert.

Die kritischen Bahnsicherheitssysteme wie beispielsweise ILTIS wurden geprüft und sind nicht betroffen. Auch die Zugskontrolleinrichtungen (ZKE) Systeme wurden in der letzten Nacht korrigiert (gepatcht) und getestet. Die zentralen Systeme sind somit alle repariert und sind diesem Risiko nicht mehr aktiv ausgesetzt. Die Nachbearbeitung des Falles wurde bereits eingeleitet.

Was können Sie privat als Internetbenutzer machen?

Es sind viele Empfehlungen im Internet zu finden. Als Privatperson können Sie aber erst einmal nur abwarten, dass die Betreiber von Webservices die Lücke schliessen. Sie sollten besonders bei sensiblen Daten überlegen, ihre Passwörter zu ändern. Das macht allerdings erst Sinn, nachdem die Betreiber der jeweiligen Webseiten den OpenSSL-Fehler vollständig behoben haben.

Footer