News & Medien 2014

Stellungnahme zur Heartbleed-Sicherheitslücke für Airlock und Medusa

Zürich, 11. April 2014 – Am Montag, 7. April 2014, wurde die Heartbleed-Sicherheitslücke in OpenSSL bekannt. Betroffen sind die OpenSSL-Versionen 1.0.1 bis und mit 1.0.1f. Diese Schwachstelle erlaubt es, die privaten Schlüssel von SSL/TLS-Verbindungen und sensible Nutzerdaten, wie z.B. Passwörter oder Session-Cookies aus dem Speicher von Webservern auszulesen. Die Attacke hinterlässt keinerlei Spuren auf dem kompromittierten System. Davon sind sehr viele Server im Netz und normale Internetbenutzer betroffen, wenn sie ihre Emails abrufen, E-Banking machen oder in einem Onlineshop einkaufen. Da es für den Angreifer nicht steuerbar ist, welche Daten er erhält, ist es jedoch nicht möglich gezielt Benutzer anzugreifen.

Auch bei der Web Application Firewall Airlock von Ergon ist OpenSSL im Einsatz. Unser Entwicklerteam hat die fehlerhafte Komponente ersetzt und bereits am frühen Nachmittag des 8. Aprils 2014 einen Airlock-Hotfix bereitgestellt, damit die Kunden ihre Systeme umgehend patchen konnten. Details finden sich auf der Airlock-Techzone. Applikationen, die hinter einem aktualisierten Airlock stehen, sind nicht verwundbar. Die Authentisierungsplattform Medusa ist von dieser Sicherheitslücke nicht betroffen, weil Medusa typischerweise hinter Airlock platziert ist und weil Medusa anstelle von OpenSSL den Java-SSL-Stack verwendet.

Es ist unklar, wie lange die Schwachstelle bereits ausgenützt wurde. Deshalb empfiehlt es sich, zusätzliche Massnahmen zu ergreifen. Die SSL/TLS-Zertifikate der betroffenen Webserver müssen erneuert werden. Dabei ist zu beachten, dass ebenfalls neue Schlüsselpaare generiert werden müssen, da die geheimen Schlüssel als kompromittiert angesehen werden müssen. Die alten Zertifikate müssen revoziert werden.

Potenziell wurden auch Passwörter von Benutzerkonten kompromittiert. Um auf der sicheren Seite zu sein, sollten nach dem Schliessen der Lücke und der Erneuerung der Zertifikate ebenfalls die Passwörter von Benutzern geändert werden. Beim nächsten Login eine Passwortänderung zu verlangen, ist eine Möglichkeit dazu. Das Self-Service-Modul von Medusa kann hier unterstützen. Falls keine 2-Faktor-Authentisierung eingesetzt wird, sollte der Passwortwechsel über einen unabhängigen Kanal (z.B. Email, SMS, Brief) erfolgen. Client-Zertifikate müssen nicht erneuert werden, da die geheimen Schlüssel den Client beim Verbindungsaufbau nicht verlassen.

Angreifer konnten potenziell auch an Session-Cookie-Daten gelangen. Falls auf Airlock Client-Fingerprinting eingeschaltet war, so wurde damit die Entführung der Session verhindert. Weitere sensible Daten wie Kreditkarten-Nummern, Zahlungsdetails, Adressen etc. waren im gleichen Ausmass exponiert. Hier hilft leider nur die kritische Hinterfragung auffälliger Transaktionen.

Links:
Empfehlungen von MELANI
Heise-Artikel zu Passwortwechsel

2. Platz bei Great Place to Work 2014

Zürich, 9. April 2014 – Wir freuen uns über den 2. Platz in der Kategorie mittelgrosse Unternehmen, den wir an der Preisverleihung von Great Place to Work Schweiz entgegen nehmen konnten. Die Bewertung besteht zu zwei Dritteln aus einer Mitarbeitendenbefragung und zu einem Drittel aus einem Culture Audit, das durch das Institut Great Place to Work durchgeführt wird. Dieses Mal haben 77 Firmen teilgenommen, 24 davon wurden in drei Kategorien ausgezeichnet. Die IT-Branche belegt in allen Kategorien die Toppositionen.

Heartbleed-OpenSSL-Sicherheitslücke in Airlock behoben

Zürich, 8. April 2014 – Am Montag, 7. April 2014, wurde die Heartbleed-Sicherheitslücke in OpenSSL bekannt. Dieser Fehler bringt einen Server dazu, den privaten Schlüssel und damit die ganze Verschlüsselung preiszugeben. Davon sind sehr viele Server im Netz und normale Internetbenutzer betroffen, wenn sie ihre Emails abrufen, E-Banking machen oder in einem Onlineshop einkaufen.

Auch bei der Web Application Firewall Airlock von Ergon ist OpenSSL im Einsatz. Unser Entwicklerteam hat die fehlerhafte Komponente ersetzt und bereits am frühen Nachmittag des 8. Aprils 2014 einen Airlock-Hotfix bereit gestellt, damit die Kunden ihre Systeme patchen können. Details finden sich auf der Airlock-Techzone.

Die Ergon-Authentisierungsplattform Medusa ist von dieser Sicherheitslücke nicht betroffen, weil der Java-SSL-Stack verwendet wird.

Erfolgsrezepte der Schweizer Software-Branche

Zürich, 28. Februar 2014 – Die Schweizer Software-Branche prosperiert. Computerworld hat Schweizer Software-Schmieden – etablierte, ehemalige Garagenunternehmen und junge Start-ups – nach ihren Erfolgsrezepten gefragt. Bei Ergon ist es das unternehmerische Denken der Mitarbeitenden.

Kompletter Computerworld-Artikel

Ergon Informatik auch im Jahr 2013 auf Wachstumskurs

Zürich, 5. Februar 2014 – Ergon hat im Jahr 2013 mehr Umsatz und Gewinn erwirtschaftet. Die guten Zahlen sind Resultat von erfolgreichen Projekten, die Ergon für langjährige und neue Kunden realisieren konnte. Auch personell ist das Unternehmen erneut gewachsen: 25 neue Stellen wurden geschaffen.

Komplette Medienmitteilung als PDF
Ergon auf dem Weg zur Produkte-Firma, inside-channels am 5.2.2014
Ergon Informatik brummt, Netzwoche am 5.2.2014

«Man kann nicht nur die Creme der ETH abschöpfen»

Zürich, 31. Januar 2014 – Patrick Burkhalter ist CEO der Schweizer Software-Schmiede Ergon. Im Interview mit Computerworld erklärt er sein Rezept gegen den Fachkräftemangel.

Kompletter Computerworld-Artikel als PDF

Airlock 5.0 ist da!

Zürich, 28. Januar 2014 – Der Hauptfokus bei diesem Major Release liegt auf der Portierung von Solaris nach Linux. Zusätzlich bringt Airlock 5.0 viele neue Funktionen, wie beispielsweise den Session Viewer oder die Apache Expert Settings, die die Airlock-Administration vereinfachen. Mehr Informationen zu den neuen Funktionen inklusive kurzem Demo-Video finden sich in der Airlock-Techzone.

ELAZ: Neuer Alleskönner für das Zugpersonal der SBB

Zürich, 8. Januar 2014 – Fahrplanauskunft, Billettautomat und Kontrollgerät in einem: Das Zugpersonal der SBB ist bei seiner täglichen Arbeit auf ein verlässliches, schnelles und handliches Multifunktionsgerät angewiesen. Nachdem die bisherige Gerätegeneration nicht mehr hergestellt wird, hat Ergon im Auftrag der SBB eine neue Lösung entwickelt. Das Ergebnis ist ein Erfolg: Die SBB und ihre Mitarbeitenden sind mit ELAZ, dem neuen Elektronischen Assistent Zugpersonal, sehr zufrieden.

Die 250 ELAZ-­Geräte sind seit Oktober 2012 im Regional­verkehr im Einsatz. Aufgrund der guten Erfahrungen wird die SBB den neuen Assistenten auch im Fernverkehr einführen, so dass der Vorgänger ZPG II bald der Vergangen­heit angehört. Gegenwärtig sind noch 1800 der roten Geräte im Einsatz.

Referenzbeispiel SBB ELAZ

Weitere Meldungen

Zu den News 2013