Nachdem wir BdB at work mobile vor knapp 3 Wochen wegen eines entdeckten möglichen Sicherheitsproblems gestoppt haben, präsentieren wir heute die aktualisierte und verbesserte Version des mobilen Zugriffs auf Ihre BdB at work Daten. Der nun erfolgte Umbau bringt zudem neue Vorteile bei der Nutzung.
Was waren die Ursachen des Problems?
Ein aufmerksamer Sicherheitsforscher hatte uns im Rahmen eines responsible-disclosure-Verfahrens vor Veröffentlichung des Problems auf einen konzeptionellen Fehler in der Sicherheitsstruktur von BdB at work mobile aufmerksam gemacht. Das aufgezeigte Problem bei der Art und Weise wie wir das für die SSL-Verschlüsselung notwendige Sicherheitszertifikat einsetzen, konnte von uns nachvollzogen werden.
Der konzeptionelle Fehler führt bei entsprechendem Aufwand für den Angreifer über eine mögliche Herabstufung der Sicherheit der verschlüsselten Übertragung zu einer gänzlich unverschlüsselten Übertragung. Auch wenn dieses Szenario unwahrscheinlich ist, so ist es doch nicht gänzlich unmöglich und entspricht nicht unserem eigenen Anspruch.
Da wir keine Flicken-Lösung wollten, haben wir uns kurzfristig zu einer vollständigen Überarbeitung des Konzepts entschlossen und die bisherige Lösung sofort gestoppt, den Download für BdB at work mobile deaktiviert und alle betroffenen Kunden informiert. Auch wenn es sich nicht um ein meldepflichtigen Zwischenfall nach DSGVO handelte, wurde der gesamte Vorgang eng von unserem externen Datenschutzbeauftragten begleitet.
Die Lösung des Problems
Das nun überarbeitete Konzept sieht ein individuelles persönliches Sicherheitszertifikat für jede BdB at work mobile Installation vor. Statt wie bisher mit einem allgemeinen Zertifikat für alle Nutzer, wird nun bei der Installation von BdB at work mobile ein persönliches Zertifikat auf Ihrem Rechner oder Server erstellt und genutzt.
Jedes dieser persönlichen Zertifikate ist ein öffentliches SSL/TLS Sicherheitszertifikat welches durch Sectigo (ehemals Comodo) signiert wird.
Der Unterschied zu früher: Das alte, jetzt nicht mehr gültige Zertifikat war allgemein für alle Kunden einheitlich (*.mobile.betreuung.de). Die neuen persönlichen Zertifikate werden standardmäßig auf die persönliche Kundennummer ausgestellt (z.B. 123456.mobile.betreuung.de).
Die Nutzung dieses neuen persönlichen Zertifikats ist natürlich weiterhin optional. Wenn Sie bereits ein persönliches Zertifikat für ihre eigene Domain besitzen, können Sie dieses wie gewohnt weiterhin in BdB at work mobile nutzen. Unser Kundenservice hilft Ihnen gerne ihr Zertifikat in die Installation einzubinden.
Ein neuer Vorteil
Wenn Sie zwar über eine eigene Domain verfügen und BdB at work mobile genau darüber und nicht über die Sub-Domain mobile.betreuung.de erreichen wollen, bietet die neue BdB at work mobile Version einen weiteren Vorteil: Statt eines eigenen kostenpflichtigen Zertifikats mit Ihrem eigenen Domainnamen, können Sie das notwendige Zertifikat auch von unserem Kundenservice auf Ihrem Rechner ausstellen lassen. Und zwar ganz ohne Mehrkosten!
Was ist zu tun?
Ab sofort steht die Installationsdatei für BdB at work mobile wieder zum Download bereit. Sie kann wie gewohnt zur Installation als auch als Update genutzt werden.
Bei einer Neuinstallation hilft der LOGO Kundenservice gerne bei der Einrichtung. Unsere Mitarbeiter stellen dann per Fernwartung sicher, dass alles korrekt eingerichtet und lauffähig ist.
Bei einem Update muss diesmal auch der LOGO Kundenservice einmalig bei Ihnen per Fernwartung tätig werden. Dies dient der Erstellung des neuen persönlichen Zertifikats für Ihre Kundennummer auf Ihrer Installation.
Unser Support-Team hilft Ihnen gerne. Rufen Sie uns einfach an. Sie erreichen uns montags bis freitags von 8:00 – 16:00 Uhr unter der bekannten Telefonnummer 0471 900 800 0
Wie immer sind alle Installationsdateien aktualisiert und stehen im Download-Bereich für Sie bereit.