Deaktivierung der SSL 3.0 Verschlüsselung

Seit einigen Wochen kursieren Schriftsätze der Rechtsanwaltskanzlei WERNER R/I aus Köln zu Datenschutzverstößen von Unternehmen. Die Kanzlei teilt im Namen eines Mandaten mit, dass dieser – im Rahmen eines Studienprojekts – einen Datenschutzverstoß festgestellt habe und bietet im Namen ihres Mandanten an, die Sicherheitslücke gegen Zahlung einer Summe von 8.000 € bzw. 16.000 € zu offenbaren.

Eine Überprüfung durch unsere IT-Security-Kollegen hat ergeben, dass betroffene Unternehmen auf ihren Webseiten noch den veralteten Verschlüsselungsstandard SSL 3.0 verwenden. Wir gehen davon aus, dass sich das Schreiben auf diese Sicherheitslücke bezieht.

Wir empfehlen, zu prüfen, ob SSL 3.0 oder noch ältere unsichere Verschlüsselungsverfahren noch genutzt werden (z.B. im Rahmen des Online-Bewerbungsverfahrens).  Diese Verschlüsselungsverfahren sind veraltet und sollten deaktiviert werden (vgl. auch Beitrag vom 16.10.2014). Die Anfälligkeit eines Webservers gegenüber bekannten SSL-Angriffen, wie z.B. Heartbleed oder Poodle, kann z. B. unter https://de.ssl-tools.net/webservers oder https://www.ssllabs.com/ssltest getestet werden.

Wir empfehlen dringend,  ausschließlich die aktuellen TLS-Verschlüsselungsprotokolle einzusetzen.