Nachrichtenarchiv
Newsletter 2014-04 - OpenSSL Sicherheitsluecke und VDS (10.04.2014 21:30, Chris)Liebe Teilnehmerinnen und Teilnehmer,
aus aktuellem Anlass wollen wir euch über folgende, wichtige Themen informieren:
- Heartbleed - große SSL-Sicherheitslücke
- Vorratsdatenspeicherung auf EU-Ebene gekippt
Am Dienstag früh wurde eine große Sicherheitslücke in der Software OpenSSL bekanntgegeben, genannt Heartbleed. Die Folge davon war, dass von jedem betroffenen System private Informationen wie der geheime Schlüssel und ggf. Passwörter und Daten aus dem Speicher ausgelesen werden konnten. Wir haben die Software auf den betroffenen Servern bereits am Dienstag früh aktualisiert. Dennoch ist nicht auszuschließen, dass die Schlüssel kompromitiert wurden. Daher haben wir sämtliche Zertifikate der nachfolgenden Dienste ausgetauscht:
- E-Mail (POP3, IMAP4, SMTP)
- Webmail
- WebDAV
- Wiki
- Jabber
- UUCP Webmail
Durch die Sicherheitslücke ist auch nicht auszuschließen, dass ggf. Passwörter unverschlüsselt übertragen wurden. Auch wenn die Chance gering ist, dass das im einzelnen Fall mitgelesen wurde, empfehlen wir euch, eure E-Mail-, SSH- und Jabber-Passwörter zurückzusetzen. Bei den SSH-Passwörtern ist es nur relevant, wenn ihr den WebDAV-Zugriff genutzt habt. Wie man Passwörter ändern kann und worauf man bei der Erstellung von Passwörtern achten sollte, steht im Wiki.
Von der Sicherheitslücke betroffen sind auch Client-Systeme auf denen eine betroffene libssl verwendet wird. Prüft bitte bei eurer Distribution bzw. eurem Betriebssystem- oder Applikationshersteller, ob Updates zur Verfügung stehen und installiert diese.
Vorratsdatenspeicherung auf EU-Ebene gekipptDoch der Dienstag war nicht nur ein schlechter Tag...
Im Jahre 2007 informierten wir euch schon über die Problematik der
Vorratsdatenspeicherung (VDS) und
unterstützten die Sammelklage des Arbeitskreis Vorratsdatenspeicherung.
Das Unternehmen glückte, und das Bundesverfassungsgericht befand die
deutsche VDS als gegen die Grundrechte verstoßend.
Damit war die VDS zwar in Deutschland Geschichte, aber in anderen EU-Ländern war
sie weiterhin Realität.
Vor wenigen Tagen wurde auf EU-Ebene das gleiche erreicht: Der Europäische Gerichtshof urteilt, dass die EU-Richtlinie zur VDS gegen die Grundrechte verstößt und damit zurückgenommen werden muss.
Auch wenn sich das vorerst gut anhört, kann man sich sicher sein, dass das nicht
das Ende der Geschichte ist. Diverse (auch deutsche) Politiker haben
angekündigt, die VDS trotzdem durchsetzen zu wollen. Und man kann sich sicher
sein, dass auch auf EU-Ebene weiterhin versucht werden wird, die VDS wieder
einzuführen.
Doch einen Etappensieg hat das freie Internet damit schonmal errungen!