Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.

 

Menu

Veröffentlicht am: 19. Februar 2015

Heartbleed Logo

Wie STRATO Sicherheitslücken schließt

IT-Sicherheit ist keine Selbstverständlichkeit. Bei STRATO arbeiten mehrere technische Abteilungen laufend daran, Sicherheitslücken zu finden und zu schließen.

Sie haben kreative Namen wie Heartbleed oder Shellshock. Sicherheitslücken entstehen durch Fehler in Programmen, Protokollen oder Betriebssystemen. Darüber können Angreifer private Daten auslesen, einzelne Server oder gar komplette Netzwerke übernehmen und kompromittieren. Standardlösungen gibt es nicht, wohl aber typische Abläufe: Nach dem Security Alert prüfen die Kollegen zunächst, ob und welche Systeme betroffen sind. Dann werden Prioritäten gesetzt, Patches eingespielt und Kunden informiert. In besonders kritischen Fällen beschäftigt das ganz STRATO.

Beispiel Heartbleed

Das war zum Beispiel bei Heartbleed im April 2014 der Fall. Aufgrund eines schwerwiegenden Fehlers in der OpenSSL-Library konnten Angreifer über verschlüsselte TLS-Verbindungen private Daten wie Passwörter und Schlüssel von Webservern auslesen. Betroffen waren auch bekannte Websites wie Yahoo, Google und Facebook.

STRATO hat die Lücke bereits am Tag des Bekanntwerdens geschlossen und die Mailserver aktualisiert. Für die betroffenen Server-Kunden haben wir eine Anleitung erstellt, wie sie Schlüssel und Zertifikate durch neue ersetzen können. Dazu wurde im Kundenlogin ein Korrektur-Button eingerichtet. Zusätzlich haben wir unseren Kunden geraten, aus Sicherheitsgründen ihre Zugangsdaten für sämtliche Online-Konten zu ändern.

Beispiel Shellshock

Ein anderes Beispiel ist die im vergangenen Herbst bekannt gewordene Sicherheitslücke Shellshock, über die Angreifer beliebigen Schadcode auf fremden Servern ausführen konnten. Betroffen waren vor allem Unix-Systeme mit CGI-Skripten und damit die meisten V-Server, Dedicated Server sowie die ServerCloud. Shellshock hatte aber nicht nur auf einzelne Kunden Auswirkungen: Zeitweise waren mehrere Tausend Server anfällig und somit ein potenzielles Risiko für die gesamte Infrastruktur von STRATO.

Deshalb musste es auch hier schnell gehen: Zunächst haben wir die Images der Distributionen aktualisiert. Betroffene Kunden wurden im Login-Bereich, per E-Mail und mit einer FAQ über notwendige Schritte informiert. Betriebssysteme mussten gepatcht bzw. neu installiert werden. Mit (nicht-invasiven oder lesenden) Scans wurden anschließend kompromittierte Server identifiziert. Diese Kunden haben wir erneut kontaktiert. Mit Erfolg: Nach wenigen Wochen hatte sich die Zahl der anfälligen V-Server deutlich reduziert.

Sicherheit geht nicht auf Knopfdruck

Teilweise lassen sich Sicherheitslücken gezielt durch einzelne Patches schließen. Häufig jedoch bestehen komplexe Abhängigkeiten innerhalb der Systeme, die ein einfaches Aktualisieren verhindern. Distributionen veröffentlichen manchmal mehrere Patches, weil das erste Update nicht fehlerfrei funktioniert. Schwierig sind auch sogenannte Appliances für Router und Switches. Das sind fertige Software-Pakete in der Netzwerktechnik, bei denen der Hersteller für Updates sorgt – und das kann im Notfall wertvolle Zeit kosten.

Grundsätzlich sind Kunden für die Sicherheit ihrer Server selbst verantwortlich. Wenn jedoch die Infrastruktur und damit andere Kunden durch ausgenutzte Sicherheitslücken in Gefahr geraten, muss STRATO schnell handeln. Bei über 55.000 Servern ist das immer wieder eine Herausforderung. Gut, dass wir die Kollegen aus der Technik haben.

Der Autor:

Autor: Christian Lingnau

Ich heiße Christian Lingnau und bin freier Redakteur für Hosting-Themen, insbesondere WordPress.

2 Kommentare

  1. grep sagte am 21. Februar 2015 um 0:56:

    Hallo Christian,

    ich erinnere mich noch sehr gut, ich las gerade vollkommen geschockt jene (STRATO-)E-Mail, in welcher mir mitgeteilt worden war dass mein (v)Server angeblich eine ‘Shellshock-Verwundbarkeit’ aufweisen soll …!

    Dass (!!!), ist und war aber NICHT zutreffend; ich monierte besagten ‘Vorwurf’ umgehend UND man räumte ein dass die ‘Art und Weise’ wie man die (v)Server prüfte, in meinem Fall ein ‘falsches’ Ergebnis lieferte.

    Man muss sich vorstellen, dass für einen absolut paranoiden, Sicherheitsfanatiker wie mich, eine derartige (Falsch-)Meldung so schockierend war, wie es beispielsweise für einen Bankkunden schockierend wäre, wenn dieser von seiner Bank die Meldung bekommen würde er befände sich 300.000,- € im Soll und dergleichen.

    Dass (!!!) was mir passierte ist dann etwas was wohl jeder (v)Server-Administrator hasst und fürchtet.
    Aber lieber eine falsche ‘Warnung’ als gar keine ‘Warnung’.

    Naja – bin ja Kummer gewohnt; solche Probleme gibt es leider bei so ziemlich allen Anbietern ganz gleich welcher Produkte und Dienstleistungen.

    Tatsache wird aber wohl gewesen sein dass auch STRATO in Panik war – verständlicherweise, denn dass war eine sehr sehr ernste Angelegenheit.

    Ciao, Sascha.

    Antworten
    • Christian sagte am 23. Februar 2015 um 13:51:

      Hallo Sascha, bei Shellshock kam es bei einigen Kunden leider zu false positive-Ergebnissen. Gut, dass du so schnell aktualisiert hast! In Panik waren wir nicht, doch es musste wirklich schnell gehen. 🙂

      Antworten

Hinterlasse eine Antwort

Bitte beachte, dass sich Dein Kommentar auf den Artikel beziehen sollte. Wenn Du ein persönliches Kundenanliegen besprechen möchtest, wende Dich bitte an unseren Kundenservice auf Facebook, Twitter oder über Hilfe & Kontakt.
Wir freuen uns, wenn Du uns Deinen Namen hinterlässt. So wissen wir, wie wir Dich bei unserer Antwort ansprechen können.
Wenn Du Deine E-Mail-Adresse einträgst, wirst Du per Mail über unsere Antwort informiert. Sie wird zum Schutz Deiner Daten aber nicht veröffentlicht. Beide Angaben sind freiwillig.

Hier bloggen

Lisa Kopelmann
Ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen

Oliver Meiners
Schreibt über alles, was für Dich als STRATO Kunde wichtig ist

Michael Poguntke
Schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server

Bianca Restorff-Adrion
Schreibt über Karriere & die Menschen bei STRATO

Christian Lingnau
Bloggt über WordPress & andere CMS

Franz Neumeier
Gibt Tipps zum erfolgreichen Bloggen

Sven Hähle
Kennt sich bei Domains hervorragend aus

Patrick Schroeder
Erzählt die Stories unserer Kunden

Ann-Christin Schmitt
Schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent

Christian Rentrop
bloggt über Software-Themen