Vor wenigen Tagen wurde eine gravierende Sicherheitslücke bekannt. Der sogenannte Heartbleed-Bug (CVE-2014-0160). Dabei handelt es sich um eine Sicherheitslücke in dem weit verbreiteten Programm OpenSSL. OpenSSL wird verwendet um verschlüsselte Verbindungen zwischen Computern aufzubauen. Heise.de spricht vom "Horror-Bug in OpenSSL".

Logo des Heartbleed-Bugs

Allein 630 der weltweiten Top 10.000 Webseiten sind betroffen. Darunter yahoo.com, web.de1, Wikipedia2 und die HypoVereinsbank3. Man geht davon aus, dass eine halbe Millionen vertrauenswürdige Websites weltweit von diesem Fehler betroffen sind.4

Librario verwendet SSL um eine verschlüsselte Kommunikation zwischen Ihnen (den Clients), unseren Servern sowie unseren Partnern zu ermöglichen. Deshalb sind auch wir von dem Fehler betroffen. Wie haben wir also reagiert?

Situation bei unseren Partnern

Da wir viele Dienstleistungen von externen Partnern beziehen, sind wir hier indirekt betroffen. Wir sind an maximaler Transparenz interessiert und haben deswegen in unserer Datenschutzerklärung genau angegeben, mit wem wir zusammen arbeiten. Hier beobachten wir durchgehend die Lage und führen notwendige Schritte durch.

Partner Betroffen von Heartbleed-Bug? Behoben durch Partner? Auswirkung auf Librario?
Amazon Web Services, Inc. Ja5 Ja Nein6
Cloudtop Inc. Nein7 Nicht notwendig Nein
Heroku, Inc. Ja8 9 Ja Ja10
Exceptional Cloud Services, LLC Ja11 Ja Nein
Found AS Ja12 Ja Ja13
New Relic, Inc. Ja, unkritische Systeme14 Nicht notwendig Nein
JLizard Limited Nein15 Nicht notwendig Nein

Konkrete Schritte auf Seiten der BauCloud GmbH

Die Situationsanalyse ergibt für uns folgende vier Schritte um den Auswirkungen des Heartbleed-Bugs entgegenzuwirken:

  • SSL-Zertifikat austauschen8 16
  • Alle Datenbank-Passwörter ändern8 12
  • Alle Server-Passwörter ändern5 8
  • Wir invalidieren alle Cookies. Jeder Benutzer wird dadurch automatisch ausgeloggt.

Um die notwendigen Änderungen umzusetzen war Librario heute für 15 Minuten unplanmäßig im Wartungsmodus. Die genauen "Downtimes" können Sie unserer Status-Seite entnehmen. Hier sehen Sie auch, dass Librario im April zu 99,89% verfügbar war.

Welche Auswirkungen hat der Heartbleed-Bug für Sie?

Genau wie wir, sind auch Sie angehalten, Ihre Passwörter auf allen betroffenen Systemen zu ändern.17 Um dies bei Librario zu machen, besuchen Sie https://ihre-firma.mylibrar.io/users, und klicken Sie bei Ihrem Benutzernamen auf bearbeiten.

Außerdem empfehlen wir Ihnen, alle Server in Ihrem Unternehmen auf diesen Bug zu untersuchen. Die Wahrscheinlichkeit ist sehr hoch, dass auch diese von dem Problem betroffen sind.