Heartbleed bei deLink


Hamburg, 16.04.2014

heartbleedDer kleine, aber gravierende und weitreichende Fehler in der Verschlüsselungssoftware openSSL, der es unter dem Namen Heartbleed-Bug zu großer Bekanntheit auch ausserhalb von Fachkreisen gebracht hat, betrifft auch deLink und die Kunden von deLink.

Auf etwa 30% aller Server von deLink war openSSL mit diesem Fehler installiert. Unmittelbar nach dem Bekanntwerden des Problems haben wir auf allen betroffenen Servern die Fehlerbehebung installiert. Ab dem 08.04.2014 15:01 CET gab es bei deLink keinen Server mehr, der die Lücke aufwies. Trotzdem bedeutet dies, dass die Daten von SSL-Zertifikaten und damit verschlüsselten Passwörter in der Zwischenzeit in falsche Hände gekommen sein könnten.

Wichtig für Sie

Die Domain- und Serververwaltung und der Kunden-Verwaltungsbereich bei deLink waren zu keinem Zeitpunkt von diesem Problem betroffen. Hier besteht für Sie kein Handlungsbedarf.

Das Emailsystem von deLink war von diesem Problem betroffen. Die Verschlüsselungssoftware sowie das SSL-Zertifikat wurden ausgetauscht. Sicher (nach heutigem Stand) ist Ihre Email aber erst wieder, wenn Sie Ihre Passwörter geändert haben. Wir haben alle Email-Kunden dazu informiert.

Sämtliche von deLink bezogenen, eventuell betroffenen SSL-Zertifikate wurden kostenlos ausgetauscht. Alle Kunden, die SSL-Zertifikate von anderen Anbietern auf deLink-Servern installiert haben, wurden informiert.

Fazit

Wieder einmal zeigt sich, dass eine zu starke Zentralisierung auch bei kleinen Problemen globale Folgen haben kann. Bisher haben wir keinerlei Anzeichen dafür, dass der Heartbleed-Bug Schaden für die Kunden von deLink angerichtet haben könnte. Hoffen wir, dass es dabei bleibt.