Sicherheitsupdate: Was Sie über den Poodle-Bug wissen sollten

Der sogenannte Poodle-Bug ist eine kürzlich bekannt gewordene Sicherheitslücke in einem Verschlüsselungs-Protokoll. In diesem Artikel erfahren Sie, wie wir Sie und die Kunden Ihres Onlineshops vor dem Poodle-Bug schützen und welche Auswirkungen dies hat.

Was genau ist der Poodle Bug?

Wenn im Internet sensible Daten übertragen werden, wird zu deren Schutz meist ein Verschlüsselungs-Protokoll eingesetzt. Dadurch werden die Daten – beispielsweise Kreditkarten- und Kontonummern – verschlüsselt und können nicht von Dritten mitgelesen werden.

Vor kurzem wurde bekannt, dass das alte Protokoll SSL 3.0 einen Programmierfehler (engl. Bug) enthält. Er ermöglicht potenziellen Angreifern zum Beispiel, Daten von Internetnutzern abzufangen und deren Browsersitzungen zu übernehmen. SSL 3.0 ist zwar schon seit langem veraltet und wurde bereits vor 15 Jahren durch ein neues Protokoll namens TLS abgelöst. Die meisten aktuellen Browser unterstützen SSL 3.0 aber noch als Ausweichlösung. Angreifer können unter Umständen verhindern, dass TLS genutzt wird und dadurch erzwingen, dass auf die unsichere Version SSL 3.0 zurückgegriffen wird.

Nicht nur Internetnutzer sind vom Bug betroffen: Auch für Server, auf denen Onlineshops und andere Websites gelagert sind, stellt diese Sicherheitslücke eine Gefahr dar.

Wie schützen wir Sie vor dem Poodle-Bug?

Um Sie und Ihre Kunden vor dem Bug zu schützen, haben wir bereits damit begonnen, SSL 3.0 auf den Servern der ePages-Provider zu deaktivieren. Kunden Ihres Shops, die Windows XP und eine stark veraltete Internet-Explorer-Version wie beispielsweise IE 6 verwenden, können den Bestellvorgang zukünftig nicht mehr abschließen. Zum Glück sind nur verhältnismäßig wenig Nutzer mit einem solchen System im Internet unterwegs. Und von der Nutzung solch veralteter Software ist ohnehin stark abzuraten: Microsoft veröffentlicht seit April dieses Jahres keine Updates mehr für Windows XP. Das Betriebssystem gilt somit als sehr unsicher und anfällig für Attacken.

Welche Änderungen gibt es bei PayPal?

Genau wie wir zieht auch der Zahlungsanbieter PayPal Konsequenzen aus dem Bekanntwerden des Poodle-Bugs: Am 3. Dezember wird PayPal die Unterstützung für SSL 3.0 einstellen. Auch hier gilt dann: Nutzer mit Windows XP und einem stark veralteten Internet Explorer werden ausgeschlossen und können PayPal nicht mehr verwenden.

Welche Maßnahmen müssen ePages-Händler nun ergreifen?

Alle Updates Ihres Shopsystems werden automatisch eingespielt. Das gilt natürlich auch für dieses Sicherheitsupdate. Die PayPal-Schnittstelle aktualisieren wir für Sie ebenfalls rechtzeitig zum 3. Dezember. Sie müssen also nichts weiter unternehmen.

Wie können Internetnutzer sich allgemein vor dem Poodle-Bug schützen?

Unabhängig davon, ob Sie einen Onlineshop betreiben oder nicht, sollten Sie stets ein aktuelles Betriebssystem nutzen – zum Beispiel Windows 8. Sowohl das Betriebssystem als auch jegliche andere Software sollten Sie immer auf dem neuesten Stand halten. Durch regelmäßige Updates werden mögliche Sicherheitslücken geschlossen.

Doch auch wer einen aktuellen Browser nutzt, könnte betroffen sein: Falls Ihr Browser SSL 3.0 unterstützt, sollten Sie dies deaktivieren. Mehr Informationen dazu finden Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik.