Die Verschlüsselung im Internet spielt eine wichtige Rolle zur Gewährleistung der Privatsphäre. Dabei verändern sich die Technologien ständig. Einst für Login- und Checkout-Seiten reserviert, bieten kryptographische Protokolle wie Transport Layer Security (TLS) heute die Möglichkeit, Endpunkte zu authentifizieren und vertraulich zu kommunizieren. Zudem entstehen neue Protokolle wie DNS-over-HTTPS. Doch nur mit der richtigen Strategie bieten sie Schutz vor bösartigem Datenverkehr.

Beim Online-Datenschutz müssen sich Unternehmen ständig auf neue Entwicklungen einstellen. Zum Beispiel wurden in den letzten zwei Jahren die TLS-Standards aktualisiert. Browser werden bald veraltete Implementierungen des Protokolls wie TLS 1.0 und 1.1 blockieren. Entsprechend müssen Unternehmen auf dem aktuellen Stand der Entwicklungen bleiben. Nur so können sie gewährleisten, dass ihre Webseiten während der gesamten Lebensdauer sicher bereitgestellt und gewartet werden können.

Auf Augenhöhe mit der Entwicklung

Die meisten Unternehmen setzen dies auch um. So akzeptiert gemäß der aktuellen TLS-Telemetrie-Studie von F5 Labs fast ein Drittel der Web-Server in den Alexa Top 1 Million bereits TLS 1.3-Verbindungen. Dies ist aus wirtschaftlicher Sicht sehr sinnvoll, denn die meisten gängigen Web-Browser unterstützen den neuen Standard. Dieser bringt neben einer Reihe von Sicherheits- auch erhebliche Performance-Vorteile mit sich.

Die Implementierung des neuesten TLS-Protokolls bietet sich jedoch noch nicht für alle Unternehmen an. Allerdings sollten sie in diesem Fall überlegen, den Austausch von RSA-Schlüsseln zu deaktivieren. Dazu müssen sie die entsprechenden Chiffrierprogramme entfernen.

Anfällig für Angriffe

Laut F5 nutzt mehr als ein Drittel der beliebtesten Webseiten weltweit immer noch RSA als bevorzugten kryptographischen Algorithmus. Dabei finden Sicherheitsexperten immer mehr Möglichkeiten, wie potenzielle Angreifer hier Schwachstellen ausnutzen können.

Dazu gehört beispielsweise die bereits 19 Jahre alte ROBOT-Schwachstelle. Darüber lassen sich RSA-Entschlüsselungs- und Signierprozesse mit dem privaten Schlüssel eines TLS-Servers durchführen. Nach aktuellen Untersuchungen sind wahrscheinlich immer noch etwas mehr als zwei Prozent der weltweit führenden Websites anfällig für diese Schwachstelle.

Außerdem müssen Unternehmen sicherstellen, dass sie eine Nachricht erhalten, sobald ein Update des TLS-Stacks für ihren Web-Server, Load Balancer oder Application Delivery Controller zur Verfügung steht. Auch Richtlinien für schnelles Patchen sind wichtig.

Kein Zertifikat für alle Fälle

Ebenfalls beachtenswert: Jede Zertifizierungsstelle kann ein Zertifikat für jede Domain im Web erstellen. Deshalb sollten Unternehmen nur zwei bis drei bekannte und vertrauenswürdige CAs nutzen. Dies funktioniert über die Erstellung von DNS-Einträgen zur Autorisierung der Zertifizierungsstelle (Certificate Authority Authorization, CAA).

Zusätzlich bietet die Anwendung des HTTP Strict Transport Security (HSTS)-Headers für Web-Apps eine weitere Sicherheitsebene. Dann werden Browser immer nur versuchen, eine Website sicher über HTTPS zu laden. Dies kann dazu beitragen, Netzwerkangriffe zu verhindern, die das Laden unsicherer Seiten erzwingen und es so ermöglichen, den Netzwerkverkehr auszuspionieren, umzuschreiben und umzuleiten.

Jedes von einer CA erstellte Zertifikat wird in einer weltweit verteilten Datenbank – den Certificate Transparency Logs – erfasst. Die Überwachung von CT-Protokollen ist ein praktisches Warnsystem, da Unternehmen benachrichtigt werden, sobald Angreifer eine Domäne oder Marke imitieren.

So wie Sicherheitstools und -tests in die Automatisierungs-Toolchain integriert werden, muss dies auch mit der Konfiguration von HTTPS geschehen. Das bedeutet eine orchestrierte Erstellung digitaler Zertifikate. Außerdem müssen interne Standards definiert werden – wie eine Mindestschlüssellänge und erlaubte Verschlüsselungssuites.

Die Sicherheitslücke mit DoH schließen

Doch es gibt immer noch viele Datenschutz- und Sicherheitslücken, selbst wenn TLS korrekt eingesetzt wird. Protokolle wie DNS-over-HTTPS (DoH) entstehen, um diese Lücken zu schließen.

Dieses Verschlüsselungsprotokoll für das Domain Name System verbessert zwar die Privatsphäre der Web-Nutzer, kann aber auch den Sicherheitsteams von Unternehmen erschweren, schadhaften Datenverkehr zu erkennen und zu blockieren. In einigen Fällen erfordert dies die Deaktivierung von DoH für Unternehmensnetzwerke oder den Einsatz interner DoH-Dienste für die Nutzer.

Bei vielen Unternehmen kann man beobachten, dass sie noch Schwierigkeiten haben mit der aktuellen Security-Entwicklung Schritt zu halten. So haben Sicherheitsexperten letztes Jahr die erste Malware entdeckt, die DoH verwendet.

Fazit

So ist nur eines sicher: Die Verschlüsselung entwickelt sich ständig weiter. Die Schlüssellängen nehmen zu, Zertifikate werden automatisiert, Behörden legen Beschränkungen auf – und neue Protokolle entstehen. Es ist dieser ständige Wandel, der für viele Unternehmen und ihre Kunden einen neuen Risikograd mit sich bringt. Eine mangelhafte TLS-Installation wird von Hackern, Regulierungsbehörden und Versicherungsgesellschaften nicht unbemerkt bleiben. Sie wirft dann ernsthafte Fragen über die restliche Infrastruktur eines Unternehmens auf.

Roman Borovits, Senior Systems Engineer bei F5

610 Artikel zu „Verschlüsselung Kommunikation“

NEWS | IT-SECURITY | KOMMUNIKATION | SECURITY SPEZIAL 7-8-2020

Spontanverschlüsselung für den geschützten Austausch vertraulicher Daten – Röntgenbilder, Rechnungen & Co. sicher per E-Mail verschicken

16. August 2020

Vor Kurzem hat die Datenschutzgrundverordnung (DSGVO) ihr zweijähriges Bestehen gefeiert. Bedenkt man, wie viel Aufwand betrieben wurde, um die Implementierung zu bewerkstelligen, ist der Umsetzungsgrad im Bereich E-Mail-Verschlüsselung noch immer ausbaufähig. Aufgrund des vermeintlichen Aufwands verzichten viele Firmen, Arztpraxen, Organisationen etc. darauf, überhaupt auf elektronischem Wege mit Kunden oder Patienten zu kommunizieren. Dabei existieren bereits Lösungen, die einfach in den Arbeitsalltag zu integrieren sind.