Wie STRATO Sicherheitslücken schließt

Wie STRATO Sicherheitslücken schließt

IT-Sicherheit ist keine Selbstverständlichkeit. Bei STRATO arbeiten mehrere technische Abteilungen laufend daran, Sicherheitslücken zu finden und zu schließen.

Sie haben kreative Namen wie Heartbleed oder Shellshock. Sicherheitslücken entstehen durch Fehler in Programmen, Protokollen oder Betriebssystemen. Darüber können Angreifer private Daten auslesen, einzelne Server oder gar komplette Netzwerke übernehmen und kompromittieren. Standardlösungen gibt es nicht, wohl aber typische Abläufe: Nach dem Security Alert prüfen die Kollegen zunächst, ob und welche Systeme betroffen sind. Dann werden Prioritäten gesetzt, Patches eingespielt und Kunden informiert. In besonders kritischen Fällen beschäftigt das ganz STRATO.

Beispiel Heartbleed

Das war zum Beispiel bei Heartbleed im April 2014 der Fall. Aufgrund eines schwerwiegenden Fehlers in der OpenSSL-Library konnten Angreifer über verschlüsselte TLS-Verbindungen private Daten wie Passwörter und Schlüssel von Webservern auslesen. Betroffen waren auch bekannte Websites wie Yahoo, Google und Facebook.

STRATO hat die Lücke bereits am Tag des Bekanntwerdens geschlossen und die Mailserver aktualisiert. Für die betroffenen Server-Kunden haben wir eine Anleitung erstellt, wie sie Schlüssel und Zertifikate durch neue ersetzen können. Dazu wurde im Kundenlogin ein Korrektur-Button eingerichtet. Zusätzlich haben wir unseren Kunden geraten, aus Sicherheitsgründen ihre Zugangsdaten für sämtliche Online-Konten zu ändern.

Beispiel Shellshock

Ein anderes Beispiel ist die im vergangenen Herbst bekannt gewordene Sicherheitslücke Shellshock, über die Angreifer beliebigen Schadcode auf fremden Servern ausführen konnten. Betroffen waren vor allem Unix-Systeme mit CGI-Skripten und damit die meisten V-Server, Dedicated Server sowie die ServerCloud. Shellshock hatte aber nicht nur auf einzelne Kunden Auswirkungen: Zeitweise waren mehrere Tausend Server anfällig und somit ein potenzielles Risiko für die gesamte Infrastruktur von STRATO.

Deshalb musste es auch hier schnell gehen: Zunächst haben wir die Images der Distributionen aktualisiert. Betroffene Kunden wurden im Login-Bereich, per E-Mail und mit einer FAQ über notwendige Schritte informiert. Betriebssysteme mussten gepatcht bzw. neu installiert werden. Mit (nicht-invasiven oder lesenden) Scans wurden anschließend kompromittierte Server identifiziert. Diese Kunden haben wir erneut kontaktiert. Mit Erfolg: Nach wenigen Wochen hatte sich die Zahl der anfälligen V-Server deutlich reduziert.

Sicherheit geht nicht auf Knopfdruck

Teilweise lassen sich Sicherheitslücken gezielt durch einzelne Patches schließen. Häufig jedoch bestehen komplexe Abhängigkeiten innerhalb der Systeme, die ein einfaches Aktualisieren verhindern. Distributionen veröffentlichen manchmal mehrere Patches, weil das erste Update nicht fehlerfrei funktioniert. Schwierig sind auch sogenannte Appliances für Router und Switches. Das sind fertige Software-Pakete in der Netzwerktechnik, bei denen der Hersteller für Updates sorgt – und das kann im Notfall wertvolle Zeit kosten.

Grundsätzlich sind Kunden für die Sicherheit ihrer Server selbst verantwortlich. Wenn jedoch die Infrastruktur und damit andere Kunden durch ausgenutzte Sicherheitslücken in Gefahr geraten, muss STRATO schnell handeln. Bei über 55.000 Servern ist das immer wieder eine Herausforderung. Gut, dass wir die Kollegen aus der Technik haben.

Schlagworte:

Teilen

  1. Avatar

    sagte am

    Hallo Christian,

    ich erinnere mich noch sehr gut, ich las gerade vollkommen geschockt jene (STRATO-)E-Mail, in welcher mir mitgeteilt worden war dass mein (v)Server angeblich eine ‘Shellshock-Verwundbarkeit’ aufweisen soll …!

    Dass (!!!), ist und war aber NICHT zutreffend; ich monierte besagten ‘Vorwurf’ umgehend UND man räumte ein dass die ‘Art und Weise’ wie man die (v)Server prüfte, in meinem Fall ein ‘falsches’ Ergebnis lieferte.

    Man muss sich vorstellen, dass für einen absolut paranoiden, Sicherheitsfanatiker wie mich, eine derartige (Falsch-)Meldung so schockierend war, wie es beispielsweise für einen Bankkunden schockierend wäre, wenn dieser von seiner Bank die Meldung bekommen würde er befände sich 300.000,- € im Soll und dergleichen.

    Dass (!!!) was mir passierte ist dann etwas was wohl jeder (v)Server-Administrator hasst und fürchtet.
    Aber lieber eine falsche ‘Warnung’ als gar keine ‘Warnung’.

    Naja – bin ja Kummer gewohnt; solche Probleme gibt es leider bei so ziemlich allen Anbietern ganz gleich welcher Produkte und Dienstleistungen.

    Tatsache wird aber wohl gewesen sein dass auch STRATO in Panik war – verständlicherweise, denn dass war eine sehr sehr ernste Angelegenheit.

    Ciao, Sascha.

    Antworten
    • Avatar

      sagte am

      Hallo Sascha, bei Shellshock kam es bei einigen Kunden leider zu false positive-Ergebnissen. Gut, dass du so schnell aktualisiert hast! In Panik waren wir nicht, doch es musste wirklich schnell gehen. 🙂

      Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen