:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Studie zur Kommunikationssicherheit 5 Tipps für sichere Kommunikation bei Webseiten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Nutzer müssen Webseiten vertrauen können. Ein wichtiges Kriterium hierfür: sichere Kommunikationswege zwischen Browser und Server. Denn dort werden sensible Daten ausgetauscht. Sind diese Wege nicht gesichert, können Daten manipuliert, gestohlen oder ausspioniert werden. Welche Technologien und Konfigurationen für die Absicherung nach dem Stand der Technik nötig sind, das lesen Sie in diesem Beitrag.
Die Kommunikation zwischen Webseiten und Nutzern erfolgt nach dem sogenannten Client-Server-Modell. Hierbei ist der Client üblicherweise ein Internetbrowser, der mit einem Server kommuniziert, auf dem die jeweilige Webseite betrieben wird. Browser und Server kommunizieren: Sie tauschen Daten aus, sobald jemand die Internetseite aufruft, ein Formular abschickt oder ein Dokument herunterlädt. Hier ist die richtige Absicherung entscheidend. Ansonsten kommen Cyberkriminelle beispielsweise an personenbezogene oder sensible Finanz-, Sicherheits-, oder Gesundheitsdaten.
In unserer Studie haben wir, das Institut für innovative Sicherheit der Hochschule Augsburg (HSA_innos) und das Technologietransferzentrum (TTZ) Data Analytics, die Kommunikationssicherheit von Webpräsenzen in der Region Donau-Ries betrachtet. Dabei zeigte sich ein großer Nachholbedarf hinsichtlich der verwendeten Technologien und deren Konfiguration.
Lediglich 37 Prozent der untersuchten Webseiten im Donau-Ries entsprachen dem Stand der Technik. Diese Domains nutzten Hypertext Transfer Protocol Secure (HTTPS) nur mittels TLS 1.2 mit Perfect Forward Secrecy (PFS) und/oder TLS 1.3 sowie ein gültiges X.509-Zertifikat. Geringfügige Konfigurationsfehler machten 21 Prozent aus. Hierzu zählen Webseiten, die sowohl Cipher Suites ohne PFS als auch zu kurze Schlüssellängen bei X.509-Zertifikaten verwendeten. Bei 42 Prozent der untersuchten Webseiten wurden erhebliche Konfigurationsfehler festgestellt. Diese boten entweder den unsicheren HTTP-Kanal an, nutzten bei der HTTPS-Kommunikation veraltete TLS-Versionen oder wiesen Zertifikatsfehler auf.
Solche Fehler können die Daten von Nutzern gefährden, sind aber vermeidbar. Deswegen lesen Sie hier nun fünf Tipps, mit denen Betreiber von Webseiten ihre Kommunikation gegen die häufigsten Fehler absichern und entsprechend des Stands der Technik konfigurieren können.
Tipp 1: Ausschließlich HTTPS nutzen
Unsere Studie (https://www.hs-augsburg.de/Informatik/HSA-innos/institut/Studie-zeigt-42-Prozent-der-Webseiten-im-Donau-Ries-kommunizieren-nicht-sicher.html) zeigt: Jeweils zwölf Prozent der untersuchten Webseiten nutzten entweder ausschließlich das unsichere HTTP oder stellten sowohl den HTTP- als auch HTTPS-Kanal zur Verfügung. 60 Webseiten leiteten sogar von HTTPS auf das unsichere HTTP um. Allerdings ermöglicht nur HTTPS eine Datenübertragung, die verschlüsselt und bei richtiger Konfiguration gegen Manipulation geschützt ist. Deshalb gilt: Falls Sie noch einen ungesicherten HTTP-Kanal bereitstellen, sollten Sie diesen zügig auf den sicheren HTTPS-Kanal umleiten.
HTTPS nutzt das Protokoll Transport Layer Security (TLS), früher auch Secure Sockets Layer (SSL) genannt. Allerdings bietet TLS das angestrebte Sicherheitsniveau nur dann, wenn aktuelle Versionen und sichere kryptographische Verfahren verwendet werden. Welche das sind, zeigt der nächste Tipp.
Tipp 2: Empfohlene TLS-Versionen mit sicheren kryptographischen Verfahren verwenden
Veraltete TLS-Protokollversionen oder zu schwache kryptographische Parameter stellen ein Sicherheitsrisiko dar. Denn werden unsichere TLS-Versionen nicht explizit abgelehnt, so können Angreifer diese für sogenannte Downgrade-Angriffe nutzen (siehe BSI Hilfsdokument TLS 2.2).
Mittlerweile gelten alle Versionen von SSL, TLS 1.0 sowie TLS 1.1 als veraltet. TLS 1.2 wird laut BSI nur als sicher angesehen, wenn zur Verschlüsselung ausschließlich kryptographische Algorithmen (Cipher Suites) eingesetzt werden, die PFS unterstützen. Von den untersuchten Webseiten in unserer Studie, die TLS 1.2 nutzten, verwendeten 52 Prozent ausschließlich Cipher Suites mit PFS und erfüllen damit die Empfehlungen. Das Protokoll TLS 1.3 gilt als sicher und benötigt keine zusätzlichen Maßnahmen.
Neben der Verschlüsselung der Datenverbindungen sind auch die X.509-Zertifikate entscheidend. Auch sie müssen gewisse Anforderungen erfüllen.
Tipp 3: Nur vertrauenswürdige und gültige Zertifikate bereitstellen
Aktuelle und vertrauenswürdige X.509-Zertifikate verifizieren die Authentizität des jeweiligen Webservers. Sogenannte Certificate Authorities (CA) stellen solche Zertifikate aus und garantieren deren Gültigkeit. Beliebt ist beispielsweise die Non-Profit-Organisation Let’s Encrypt, die seit 2015 kostenlose digitale Zertifikate ausstellt. 45 Prozent der in unserer Studie untersuchten Webseiten nutzten diese CA. Weniger beliebt waren DigiCert (34 Prozent) oder Sectigo (acht Prozent), beides kommerzielle Anbieter.
Vertrauenswürdige und damit von einer CA ausgestellte X.509-Zertifikate sind entscheidend für die Kommunikationssicherheit einer Webseite. Von selbstsignierten Zertifikaten ist deshalb dringend abzuraten. Zudem sollte die Zertifikatskette stets vollständig und bis zur Stammzertifizierungsstelle nachvollziehbar sein. Nicht außer Acht zu lassen ist zudem der Gültigkeitszeitraum. Dieser ist seit Oktober 2020 von großen Browser-Anbietern wie Apple, Google und Mozilla auf 398 Tage beschränkt.
Zudem sollten X.509-Zertifkate die vom BSI empfohlenen Schlüssellängen aufweisen. Diese finden Sie im folgenden Abschnitt.
Tipp 4: Die richtigen Schlüssellängen wählen
Zertifikate können RSA- oder ECDSA-basiert sein. Beide Algorithmen haben unterschiedliche Anforderungen an die Schlüssellänge. RSA-basierte Zertifikate sind am weitesten verbreitet und sollten mindestens eine Länge von 2000 Bit verwenden. Verfahren, die auf elliptischen Kurven basieren (ECDSA), sind moderner. Diese Varianten sollten Schlüssel mit einer Länge von mindestens 250 Bit verwenden. Damit bieten sie bei geringerer Länge die gleiche Sicherheit wie RSA-basierte Zertifikate, wodurch eine höhere Performance erreicht werden kann.
Gut konfigurierte Web-Server bilden die Grundlage für eine sichere Kommunikation mit Internetseiten. Jedoch sollte eine optimale Security-Strategie noch deutlich mehr Faktoren berücksichtigen.
Tipp 5: Best Practices bei der Konfiguration des Web-Servers befolgen
Die IT-Sicherheit eines Serversystems lässt sich auf verschiedene Arten optimieren. Dabei sind besonders der eingesetzte Web-Server, das dort verwendete Betriebssystem sowie das Content-Management-System (CMS) im Fokus. Hierfür sollten Betreiber Best Practices befolgen, wie beispielsweise die CIS Benchmarks.
Zudem sollte die Angriffsfläche möglichst minimiert werden. Dies erreicht man zum Beispiel, indem man unnötige Schnittstellen und Services abschaltet. Denn umso weniger von ihnen aktiv sind, desto geringer ist das Angriffspotenzial. Zusätzlich sollten die externen Zugriffsmöglichkeiten auf den Server auf ein Minimum reduziert sein.
Neben diesen einmaligen Konfigurationen ist eine kontinuierliche Pflege des Gesamtsystems wichtig. Hierfür sollten Betreiber regelmäßig Updates, insbesondere Sicherheits-Updates, auf dem Server einspielen und aktuelle Schwachstellenmeldungen verfolgen. Damit bleibt das Server-System immer auf dem aktuellsten Stand.
Fazit
Im Web muss Kommunikationssicherheit ein wichtiger Teil der Security-Strategie sein. Um die Kommunikation entsprechend dem aktuellen Stand der Technik abzusichern, gibt es einige Möglichkeiten. Zusammengefasst bedeutet das: ausschließlich mittels HTTPS-Verbindungen kommunizieren, dabei nur TLS 1.2 mit PFS oder TLS 1.3 anbieten und gültige X.509-Zertifikate verwenden.
Die Herausforderungen, die sich regional im Donau-Ries abzeichnen, lassen sich auch auf andere Seitenbetreiber übertragen. Das heißt: Es besteht Handlungsbedarf in Sachen Kommunikationssicherheit – besonders für Unternehmen und Behörden. Denn sichere Kommunikationswege sind die Grundlage für Vertrauenswürdigkeit im Internet, aber auch für sichere, digitale Wertschöpfung in industriellen Anwendungen.
Über den Autor: Prof. Dr.-Ing. Dominik Merli leitet das Institut für innovative Sicherheit der Hochschule Augsburg (HSA_innos) und ist stellvertretender Leiter des TTZ Data Analytics in Donauwörth. Beide Einrichtungen entwickeln Lösungen zur Digitalisierung von Unternehmen und Behörden. Prof. Merlis Schwerpunkte sind IT und OT Security sowie die Entwicklung sicherer eingebetteter Systeme.
(ID:48314656)
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/a6/50a6070b15ddd2298bb23f34225b35f1/0111452944.jpeg "Windows 11 22H2 und Windows Server vNext bekommen eine ganze Reihe neuer Sicherheitsfunktionen, zum Schutz gegen Phishing, Ransomware, nicht vertrauenswürdiger Apps und Passwortdiebstahl. (Bild: greenbutterfly - stock.adobe.com)")