Am 8. April wurde eine schwerwiegende Lücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt, die geeignet ist, vertrauliche Inhalte wie Passwörter oder private Schlüssel von Zertifikaten auszulesen. Damit wäre es möglich, unberechtigt auf Daten zuzugreifen, oder den verschlüsselten Datenverkehr, sofern er aufgezeichnet werden kann, zu entschlüsseln. In den Medien wird inzwischen berichtet, dass die Lücke in den letzten Monaten auch aktiv ausgenutzt wurde.
DATEV setzt zum Schutz sensibler Daten grundsätzlich auf eine Kombination aus Wissen (zum Beispiel Passwörter, PINs) und Besitz (z. B. Smartcard, mIDentity). Eine Gefährdung war und ist daher nicht gegeben bei den zentralen Diensten im Rechenzentrum (z.B. DATEVasp/DATEVcloud, DATEVnet und RZ-Kommunikation) sowie den DATEV-Anwendungen, die über die nicht öffentlichen Bereiche der DATEV-Webseiten zu erreichen sind (z.B. Unternehmen online). Weder war somit ein unberechtigter Datenzugriff noch eine Entschlüsselung der Datenübertragung ins Rechenzentrum möglich.
In den öffentlich zugänglichen Bereichen auf www.datev.de, die mit UserID/Passwort abgesichert werden, waren auch vereinzelt DATEV-Angebote von der Sicherheitslücke betroffen. Die Software wurde in diesen Fällen umgehend aktualisiert. Es liegen aber keine Hinweise vor, dass die Lücke bei DATEV-Angeboten aktiv missbraucht wurde. Sicherheitshalber empfehlen wir diesen Anwendern jedoch, vorbeugend ihr Passwort zu ändern.
Quelle: https://www.datev.de