Hallo,
kann ich davon ausgehen, dass Alf-Banco das derzeit problematische openSSL (OpenSSL-Lücke -Heartbleed) nicht verwendet?
Gruß
Horst
OpenSSL-Lücke (Heartbleed)
Re: OpenSSL-Lücke (Heartbleed)
So wie ich es verstanden habe betrifft es nur Server Software. Alf ist eine Client Software.
Im Alf Verzeichnis liegen auch openssl Dateien, vielleicht trotzdem updaten zur Sicherheit.
Im Alf Verzeichnis liegen auch openssl Dateien, vielleicht trotzdem updaten zur Sicherheit.
Re: OpenSSL-Lücke (Heartbleed)
Hallo,
die "Heartbleed" Sicherheitslücke in OpenSSL betrifft ALF-BanCo selbst nicht.
ALF-BanCo nutzt zwar OpenSSL für die Verschlüsselung, aber nicht in der betroffenen Version.
Außerdem betrifft diese Sicherheitslücke nur Web-Server. Über "Heartbleed" können Daten vom Server ausgelesen werden.
Bei ALF-BanCo wäre dies selbst dann nicht möglich, wenn die betroffene Version verwendet worden wäre.
Wir können allerdings keine Aussage dazu treffen, ob eventuell Bank-Rechner, die teilweise mit OpenSSL arbeiten, betroffen sind.
Wenn Sie HBCI mit Datei oder Chipkarte nutzen, sind Sie sicher nicht betroffen.
Bei HBCI-PIN/TAN wäre ein Auslesen von Daten auf dem Bankserver über Heatbleed theoretisch möglich.
Bei Nutzung eines aktuellen TAN-Verfahrens wie mobileTAN oder chipTAN ist aber aus unserer Sicht auch in diesem Fall ein Missbrauch ausgeschlossen.
Da uns keinerlei Informationen über die von den einzelnen Bank-Servern verwendeten SLL Verschlüsselungen vorliegen und dies auch nur die entsprechenden Kreditinstitute selbst beantworten können, fragen Sie im Zweifelsfall bitte bei Ihrem Institut nach.
Gruß,
ALF
die "Heartbleed" Sicherheitslücke in OpenSSL betrifft ALF-BanCo selbst nicht.
ALF-BanCo nutzt zwar OpenSSL für die Verschlüsselung, aber nicht in der betroffenen Version.
Außerdem betrifft diese Sicherheitslücke nur Web-Server. Über "Heartbleed" können Daten vom Server ausgelesen werden.
Bei ALF-BanCo wäre dies selbst dann nicht möglich, wenn die betroffene Version verwendet worden wäre.
Wir können allerdings keine Aussage dazu treffen, ob eventuell Bank-Rechner, die teilweise mit OpenSSL arbeiten, betroffen sind.
Wenn Sie HBCI mit Datei oder Chipkarte nutzen, sind Sie sicher nicht betroffen.
Bei HBCI-PIN/TAN wäre ein Auslesen von Daten auf dem Bankserver über Heatbleed theoretisch möglich.
Bei Nutzung eines aktuellen TAN-Verfahrens wie mobileTAN oder chipTAN ist aber aus unserer Sicht auch in diesem Fall ein Missbrauch ausgeschlossen.
Da uns keinerlei Informationen über die von den einzelnen Bank-Servern verwendeten SLL Verschlüsselungen vorliegen und dies auch nur die entsprechenden Kreditinstitute selbst beantworten können, fragen Sie im Zweifelsfall bitte bei Ihrem Institut nach.
Gruß,
ALF
Re: OpenSSL-Lücke (Heartbleed)
Hallo ALF,
Danke für die offizielle Einschätzung.
Grüße,
Banconaut
Danke für die offizielle Einschätzung.
Grüße,
Banconaut
Re: OpenSSL-Lücke (Heartbleed)
Es betrifft alle Server welche TLS Verbindungen über die betroffene OpenSSL Version bereit stellen. Ob das Web, Hbci, mail oder was ganz anderes ist spielt hier keine Rolle.ALF hat geschrieben: Außerdem betrifft diese Sicherheitslücke nur Web-Server. Über "Heartbleed" können Daten vom Server ausgelesen werden.
Ansonsten Teile nach ausführlicher Recherche über die Lücke die Meinung von Alf hier.