Nachdem am späten Montag Abend eine äußerst schwerwiegende Sicherheitslücke, genannt „Heartbleed“, in der OpenSSL-Verschlüsselungsbibliothek öffentlich bekannt wurde, haben wir natürlich umgehend die Relevanz für mercaware geprüft: Sofern das Betriebssystem auf dem mercaware läuft für die Schwach­stelle verwundbar ist, ist auch leider mercaware dafür verwundbar. Da mercaware auf verschiedenen Linux-Distributionen eingesetzt wird lässt sich somit keine pauschale Aussage treffen.

Bei OpenSSL handelt es sich um die vermutlich verbreitetste und gängigste Bibliothek für SSL-/TLS-Ver­schlüsselung im Netzwerkbereich – und alle gängigen Linux-Distributionen liefern diese standardmäßig mit aus bzw. bauen darauf auf. Durch einen Entwicklungsfehler wurde eine Sicherheitslücke eingeschleppt bei der es unter Umständen möglich ist den privaten Schlüssel (der normalerweise auf dem Server verbleibt) über das Internet auszulesen. Erlangt ein Angreifer den privaten Schlüssel kann er – sofern er verschlüsselten Daten­verkehr aufgezeichnet hat – diesen entschlüsseln. Da die Verbindung bei mercaware zwischen Java-Applet und Applikationsserver mit einer TLS-Transportverschlüsselung versehen ist, ist hier abhängig vom darunterliegenden Betriebssystem die mögliche Verwundbarkeit gegeben.

Selbstverständlich haben wir sofort alle Kundensysteme geprüft und Maßnahmen ergriffen: Auf von uns betreuten Systemen haben wir die OpenSSL-Sicherheitsupdates der Linux-Distributoren eingespielt. Wird mercaware in der kundeneigenen Infrastruktur betrieben haben wir entweder in Rücksprache mit dem Kunden die Sicherheitsupdates eingespielt oder den zuständigen IT-Dienst­leister kontaktiert.

Da sich nicht feststellen lässt ob ein eventueller Angreifer den privaten Schlüssel erlangen konnte haben wir auf allen Kundensystemen den privaten Schlüssel vorsichtshalber ausgetauscht – der normale mercaware-Benutzer bemerkt diesen Schlüsselaustausch (ähnlich wie bei HTTPS-verschlüsselten Webseiten) allerdings nicht.

Bei den Gesprächen mit unseren Kunden haben wir auch darauf hingewiesen, dass möglicherweise nicht nur mercaware von Heartbleed betroffen ist: Viele andere namhafte Hersteller auf der ganzen Welt setzen ebenfalls OpenSSL auf allen nur denkbaren Betriebs­systemen ein, manche verschweigen die Verwendung von OpenSSL jedoch, geben vor nicht von Heartbleed betroffen zu sein – oder geben gar keine Stellungnahme dazu. Uns liegt Ihre Sicherheit am Herzen und daher haben wir sofort und so umfassend wie möglich reagiert.

Im Unterschied zu anderen ERP-Systemen nutzt mercaware die Bibliotheken des darunterliegenden Linux-Betriebssystems. Das hat bei der regelmäßigen Systempflege den Vorteil, dass mercaware ganz einfach und problemlos indirekt mitgepflegt wird. Hätten wir OpenSSL statt­dessen direkt in mercaware eingebaut hätten wir zur Beseitigung dieser Schwachstelle einen neuen Applikationsserver bauen und bei allen Kunden einspielen müssen – was Sie und uns deutlich mehr Zeit und Geld gekostet hätte…