Heartbleed: Umfrage unter deutschen Startups
Internet-Super-GAU oder alles doch nicht so schlimm? Jeden Tag verlassen sich Millionen Nutzer bei der Eingabe ihrer Passwörter auf die Sicherheit ihrer Daten – auch bei den Produkten deutscher Startups. Alles ist verschlüsselt, Kreditkartennummer und Kontodaten sind sicher. Oder? Dass die NSA alles mithört, ist schlimm genug. Heartbleed, die gerade entdeckte Sicherheitslücke in der quelloffenen Verschlüsselungssoftware OpenSSL, hat sich allerdings seit zwei Jahren theoretisch jeder gewiefte Hacker zunutze machen können, dem sie aufgefallen ist. Und das absolut unbemerkt.
Dienste wie Yahoo oder Google, Facebook oder Dropbox, Tumblr oder Web.de waren von der Lücke betroffen. Das Dumme: Niemand weiß wirklich, welche Daten von welchen Servern über die Heartbleed-Lücke gestohlen worden sind. Und es wird sich wohl auch nie herausfinden lassen. Wir haben Startups befragt, die mit besonders sensiblen Kundendaten hantieren: Wie sehr ist die Szene von Heartbleed betroffen? Wie gravierend ist die Lücke überhaupt? Und wie gehen sie mit der Problematik um – sowohl technisch wie auch gegenüber den Kunden?
Mitarbeit: Georg Räth
Affinitas, Betreibergesellschaft der Partnerbörse eDarling:
Die Heartbleed-Sicherheitslücke wird in den Medien derzeit als „Internet-Super-GAU“ bezeichnet. Wie kommuniziert man die Problematik gegenüber Kunden?
Es ist wichtig, dass die betroffenen Dienste ihre Kunden darüber aufklären, was dieser Unfall konkret im Zusammenhang mit dem jeweiligen Dienst bedeutet beziehungsweise bedeuten kann. Die besondere Problematik an diesem „GAU“ ist, dass wir wissen, dass die Möglichkeit zum Datendiebstahl bestand. Niemand kann aber abschließend klären, ob es zu Datendiebstählen kam.
Wurden bei Euch Kundendaten gestohlen?
Wir halten es für sehr unwahrscheinlich, dass bei uns ein erfolgreicher Datendiebstahl durchgeführt wurde, weil wir darauf überhaupt keine Hinweise haben. Aber es gibt leider keine Möglichkeit, diese Frage mit absoluter Sicherheit zu beantworten.
Wie kann man das überhaupt rausfinden?
Es gibt nach unserem Wissen aktuell keine Möglichkeit, dies mit Sicherheit zu beantworten.
Wie geht man mit dem Problem aus technischer Sicht um?
Wir haben, wie viele andere Anbieter, sofort einen Patch durchgeführt, als dieser für die OpenSSL-Library veröffentlicht wurde. Damit ist die Sicherheitslücke für Neu-Angreifer geschlossen. In einem zweiten Schritt tauscht man die Zertifikate aus, um die Datendiebe auszusperren, die die Sicherheitslücke eventuell schon ausgenutzt hatten. In einem dritten Schritt fordert man dann die Kunden zum Passwortwechsel auf.
Möglichst vollständige Kundenprofile sind wichtig, weil sich daraus viele Informationen ableiten lassen. Werden die Kunden angesichts der immer häufiger werdenden Datendiebstähle knausriger mit persönlichen Daten? Verzichten sie vielleicht sogar immer häufiger ganz darauf, neue Dienste auszuprobieren?
Letzteres ist leider anzunehmen. Allerdings reiht sich Heartbleed hier einfach in eine Folge trauriger Ereignisse ein: Auch die NSA-Affäre oder die Nachricht von Millionen geknackter Email-Konten, wie sie dieses Jahr schon zum zweiten Mal durch die Medien geht, erschüttern unser aller Vertrauen. Das ist schlecht für die gesamte Szene hier in Berlin – Privacy-Lösungen wie ZenMate mal ausgeschlossen.
Kreditech, Kreditwürdigkeitsprüfer und Big-Data-Startup
Die Heartbleed-Sicherheitslücke wird in den Medien derzeit als „Internet-Super-GAU“ bezeichnet. Wie kommuniziert man die Problematik gegenüber Kunden?
Heartbleed ist vor einigen Tagen der breiten Öffentlichkeit bekannt geworden. In Anbetracht der hohen Zahl an betroffenen Diensten und Websites, kann man wirklich von einem Internet-Super-GAU sprechen. Im ersten Augenblick lässt sich aber die Gefahr und das eigentlich Problem erstmal schwer verstehen, was genau die „Heartbleed“-Sicherheitslücke ist. Daher ist eine einfache, direkte Kommunikation gegenüber dem Kunden am hilfreichsten. Gegebenenfalls sogar im persönlichen Telefonat mit dem Kundenservice und über unsere länderspezifischen Websites.
Wurden bei Euch Kundendaten gestohlen?
Nein, bei uns sind keine Kundendaten gestohlen worden. Das liegt zum einen daran, dass wir keine Kundendaten abspeichern, sondern nur für den Scoring-Prozess einmal auswerten. Die Daten werden danach wieder anonymisiert und gelöscht. Dies war auch vor Bekanntwerden von Heartbleed schon der Fall. Das gilt im Übrigen für alle Länder in denen wir operieren. Da wir als in Deutschland ansässiger Dienst dem Safe Harbour-Abkommen unterliegen, sind wir seit jeher dazu verpflichtet, die deutschen Datenschutzrichtlinien für unsere Services auch uneingeschränkt im Ausland anzuwenden.
Zum anderen müssen wir als Online-Finanzservice den Kunden einen hohen Standard an Server- und Service-Sicherheit bieten. Dafür wenden unsere Entwickler ein hohes Maß an Ressourcen auf. Nicht nur in Bezug auf den aktuellen Fall.
Wie kann man das überhaupt rausfinden?
Unser System Administration-Team hat alle Serveraktivitäten der letzten Zeit analysiert und beobachtet und keine Datenverluste oder nicht-gewollten Aktivitäten festgestellt. Es gibt für den aktuellen Heartbleed-Fall als Schnelltest zwei Seiten, die Usern die Möglichkeit geben Dienste in Bezug auf Heartbleed zu prüfen: http://filippo.io/Heartbleed/ und https://sslcheck.globalsign.com/de
Wie geht man mit dem Problem aus technischer Sicht um?
Wir nutzen unter anderem für verschiedene Prozesse Cloud-Services, mit denen wir bei Bekanntwerden von Heartbleed eng zusammen gearbeitet haben. Es wurde ausgesprochen schnell reagiert und nach kurzer Zeit vorsorglich ein entsprechendes Sicherheits-Patch auf allen Servern ausgerollt. Danach wurde nochmal ein umfassender Sicherheitscheck durchgeführt, um einfach auf Nummer sicher zu gehen.
Möglichst vollständige Kundenprofile sind wichtig, weil sich daraus viele Informationen ableiten lassen. Werden die Kunden angesichts der immer häufiger werdenden Datendiebstähle knausriger mit persönlichen Daten? Verzichten sie vielleicht sogar immer häufiger ganz darauf, neue Dienste auszuprobieren?
Genau das Gegenteil ist der Fall. Natürlich haben wir uns von Anfang an immer gefragt, wieviel die Kunden für einen Online-Kredit tatsächlich bereit sind an Daten zur Verfügung zu stellen. Es hat sich von Anfang an gezeigt, dass User durchaus bewusst entscheiden, was sie wem preisgeben. Transparenz des Services spielt dabei eine große Rolle. Tatsächlich ist es so, dass Kunden durchaus bereit sind Daten über sich preis zu geben, wenn ihnen bewusst ist, wofür und wie dieses Daten genutzt werden. Man muss auch immer unterscheiden, zwischen persönlichen Daten, wie Adresse, Name, Telefonnummer und anonymen Daten, wie IP-Standort, Internet-Provider, Browser oder Surf-Verhalten. Letztere werden nicht mit einer Person direkt in Verbindung gebracht, können aber neben anderen mehreren Tausend Datenpunkten mit in das Scoring einfließen.
Seedmatch, die Startup-Schwarmfinanzierunsplattform
Die Heartbleed-Sicherheitslücke wird in den Medien derzeit als „Internet-Super-GAU“ bezeichnet. Wie kommuniziert man die Problematik gegenüber Kunden?
Die Sicherheitslücke ist für betroffene Systeme in der Tat ein schwerwiegendes Problem, zumal die Lücke bereits seit Jahren existiert. Grundsätzlich ist es zu begrüßen, dass solche Sicherheitsproblematiken zunehmend auch „normalen“ Internetnutzern bekannt gemacht werden und dass eine Diskussion und Sensibilisierung für das Thema in der Öffentlichkeit erfolgt.
Bei Bekanntwerden einer solchen Sicherheitslücke sollte man als erstes natürlich sofort prüfen, ob das eigene System davon betroffen ist. Wenn dem so ist, dann sollte man so schnell wie möglich das Problem beheben und als zweites seine Nutzer proaktiv, am besten per E-Mail, über die Hintergründe informieren. In Fall von Heartbleed müssen betroffene Anbieter nach dem Fix ihren Usern nahelegen, ihr Passwort zu ändern. Unser System ist nicht von der Sicherheitslücke betroffen, insofern besteht für unsere User keine Gefahr. Da das Thema aber in den Medien besprochen wird, muss man natürlich damit rechnen, dass die User verunsichert sind. Dem begegnen wir mit einem zeitnahen Statement in unserem Blog und indem wir unsere User auch via Social Media ansprechen.
Wurden bei Euch Kundendaten gestohlen?
Zu keiner Zeit. Die bei uns eingesetzte OpenSSL-Version war nicht davon betroffen.
Wie kann man das überhaupt rausfinden?
Da das Problem auf Serverebene bestehen würde, müssten die Mitarbeiter in der IT die auf den Servern installierte Software prüfen.
Die Sicherheitslücke besteht, wenn die eingesetzte Version von OpenSSL einen Softwarestand 1.0.1 bis einschließlich 1.0.1f aufweist und mit dem HEARTBEAT-Flag kompiliert wurde. Da wir eine andere Version benutzen, ist unser System davon wie gesagt nicht betroffen.
Wie geht man mit dem Problem aus technischer Sicht um?
Hier ist eine dreistufige Vorgehensweise angebracht:
1. Zunächst sollte festgestellt werden, ob man von dem Bug überhaupt betroffen ist. Beispiel: Windows-Server mit IIS sind nicht von dem Problem betroffen, da diese kein OpenSSL einsetzen.
2. Falls dieser Bug vorliegt, muss die betroffene OpenSSL-Version ausgetauscht werden (Version 1.0.1g behebt den Fehler) oder zumindest eine Version mit dem Compileflag -DOPENSSL_NO_HEARTBEATS eingesetzt werden.
3. Zum Schluss müssen die Zertifikate ausgetauscht werden.
Möglichst vollständige Kundenprofile sind wichtig, weil sich daraus viele Informationen ableiten lassen. Werden die Kunden angesichts der immer häufiger werdenden Datendiebstähle knausriger mit persönlichen Daten? Verzichten sie vielleicht sogar immer häufiger ganz darauf, neue Dienste auszuprobieren?
Grundsätzlich haben wir auch den Eindruck, dass die Menschen vorsichtiger werden und mehr hinterfragen, warum Anbieter bestimmte Informationen erheben. Über die Gründen können wir nur spekulieren. Möglicherweise hat es zum Teil mit den häufiger publik werdenden Datendiebstählen zu tun. Darüber hinaus ist gut denkbar, dass der NSA-Skandal grundsätzlich das Bewusstsein für Datensicherheit erhöht hat – auch für den Umfang und die Detailliertheit unserer persönlichen digitalen Daten, über die Anbieter wie Google oder Apple bereits verfügen. Auch Berichte darüber, wie persönliche Daten oft ohne richterliche Beschlüsse und ohne Wissen des Betroffenen von manchen Anbietern weitergegeben werden, lassen sicher viele Nutzer aufmerksamer werden, welche Daten sie welchen Diensten zur Verfügung stellen.