Frank PientkaInnovation und Technologie

Der gefährlichste Code der Welt

Nicht nur durch die Enthüllungen von Edward Snowden ist einer breiten Öffentlichkeit klar, dass es auch im Internet keine absolute Sicherheit gibt. Eine große Rolle für eine sichere Kommunikation im Internet spielt der Secure Sockets Layer (SSL) (Transport Layer Security). Als HTTPS ist es das Standardprotokoll für viele E-Commerce-Angebote oder Cloud-Dienste. Für viele Cloud-Anbieter wird durch PRISM das Geschäft schwieriger. Deswegen ist es umso beängstigender, dass viele Anbieter das SSL-Protokoll immer noch in einer veralteten Version oder in einer fehlerbehafteten Konfiguration einsetzen. Der sorglose Umgang mit SSL-Zertifikaten trägt dazu bei, dass SSL von so manchen Experten auch als gefährlichster Code der Welt angesehen wird.

Doch auch Man-in-the-Middle-Angriffe, löchrige Transport Layer Security mit BEAST-Angriffen (Browser Exploit Against SSL/TLS), kaputtes RC4, veraltete Chiffrensammlungen und zu kurze Schlüssel bieten bei veralteten und schlecht gewarteten Systemen eine große Angriffsfläche. Letztlich haben viele Software-Hersteller und Webseitenbetreiber auf schon länger bekannte Lücken im SSL-Protokoll reagiert. So unterstützen neue Browser oder Betriebssysteme das auch als SSL 3.3 bekannte Transport Layer Security (TLS)-Protokoll in der Version 1.2 (Firefox 27 und TLS 1.2).

Die Anwender und Anbieter haben jedoch auf diese Möglichkeiten nur wenig reagiert, so dass immer noch die Kommunikation von vielen Web-Diensten nicht abhörsicher ist. Durch zu schwache Schlüssel können die für SSL verwendeten Zertifikate auch schneller gefälscht werden, so dass die Identität des Dienstanbieters nur sehr unsicher verifiziert werden kann.

Durch die weitere Verbreitung von mobilen Anwendungen wird die Unterstützung aktueller Sicherheitsstandards erschwert, da diese Geräte nur schwierig zu aktualisieren oder zu konfigurieren sind, um diese zu verwenden.

Das Jahr 2014 hält wieder viele neue Software-Versionen bereit. Einige Unternehmen nutzen die Umstellung auf neue Windows- oder Java-Versionen, um das Sicherheitsniveau ihrer Anwendungen zu heben.

Eine solide umgesetzte Verschlüsselung ist heute wichtiger denn je. Der zentrale Baustein zur Verschlüsselung von Server-Diensten bleibt SSL beziehungsweise dessen Nachfolger TLS. Die große Herausforderung besteht darin, den Server so einzurichten, dass er mit möglichst vielen Clients eine wirklich abhörsichere Verschlüsselung aushandelt, ohne dabei ältere Endgeräte auszuschließen. Durch die Verwendung der von der National Security Agency (NSA) empfohlenen Sammlung kryptographischer Algorithmen – der so genannten Suite B – () ist es möglich, den Schlüsselaustausch und damit die gesamte Kommunikation auf ein ausreichend hohes Sicherheitsniveau zu heben.

Zusätzlich empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Protokoll TLS 1.2 in Kombination mit Perfect Forward Secrecy (PFS) als Mindeststandard für die Bundesverwaltung in der Verwaltungsvorschrift nach § 8 Abs. 1 Satz 1 BSIG zu verwenden. So soll die Vertraulichkeit, Authentizität und Integrität bei der Übertragung von Daten im Internet mittels HTTPS für E-Government-Anwendungen sichergestellt werden.

Den ganzen Beitrag können Sie auch im Materna Monitor lesen.

Schlagwörter: , , ,