26.09.2014 05:02

Special Report: Heartbleed in Österreich - 100 Tage danach

7. August 2014

Der "Heartbleed" Bug in OpenSSL hat viele Systeme in Österreich betroffen. Ein großer Teil der Systemverwalter hat prompt reagiert und ihre Server aktualisiert. Mit dem Start der domainbasierten Messungen von CERT.at am 19. April 2014 waren unter der Top-level Domain Österreichs (.at) 1850 Webserver (https, TCP Port 443) und 1000 Mailserver (smtp, TCP Port 25) verwundbar. Bis Ende Juli 2014 hat sich die Zahl auf 740 Webserver und 520 Mailserver rund halbiert. Bezogen auf alle Web- oder Mailserver sind das 0,59 bzw. 0,73 Prozent. Von den untersuchten Servern die SSL/TLS unterstützen, sind das noch 1,31% (https) bzw. 1,28% (smtp).

Ende Juli sind noch 2030 .at - Domains bei https, und 1740 bei smtp für Heartbleed anfällig.

Die Zahlen zeigen, dass die Kombination aus einem nationalen CERT, das Informationen über Sicherheitsprobleme einholt und weitergibt, und einer gut funktionierenden Abuse-Abteilung bei ISPs, einen deutlichen, messbaren und positiven Effekt auf die Netzwerksicherheit hat.

Als Seiteneffekt dieser Messungen ergaben sich auch Werte, wie weit unter .at der Einsatz von verschlüsselter Datenübertragung angeboten wird. So etwa erlauben 79% der .at Domains die Übermittlung von Email mittels SMTP/STARTTLS.


Informationsquelle(n):

Report
http://www.cert.at/static/downloads/specials/20140807-heartbleed.pdf