:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Kommentar zu verkürzten Laufzeiten für SSL-/TLS-Zertifikate Bringen verkürzte Laufzeiten für Website-Zertifikate mehr Sicherheit?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Seit dem 1. September 2020 gelten neue verkürzte Laufzeiten für SSL-/TLS-Zertifikate. Akzeptiert werden nur noch Zertifikate mit einer maximalen Laufzeit von 13 Monaten (397 Tage). Die Browserhersteller versprechen sich davon mehr Sicherheit in der Internet-Kommunikation, aber wird die Online-Kommunikation durch eine reduzierte Gültigkeitsdauer wirklich sicherer?
Die Browserhersteller versprechen sich von einer verkürzten Laufzeit für SSL- und TLS-Zertifikate mehr Sicherheit in der Internet-Kommunikation. Ihr Ziel ist es, dass Zertifikate in immer kürzeren Abständen ausgetauscht werden, idealerweise in wenigen Tagen. Damit einher geht die Hoffnung der Browserhersteller, dass sie letztlich gänzlich auf die Zertifikatsvalidierung verzichten können, um die Geschwindigkeit ihrer Browser zu beschleunigen. Doch wird die Online-Kommunikation durch eine reduzierte Gültigkeitsdauer wirklich sicherer?
Zertifikat ist nicht gleich Zertifikat
Fakt ist, dass der Missbrauch durch gefälschte Webseiten steigt. Aktuelles Beispiel dafür ist der Betrug bei den Corona-Soforthilfen im Frühjahr 2020. Cyberkriminelle registrierten eine der Original-URL ähnlich klingende Fake-Webseite und veröffentlichten diese im Internet. Dort gaben viele Anwender ahnungslos ihre persönlichen Daten preis. Mit diesen Informationen stellten die Cyberkriminellen dann auf den Originalseiten Anträge und kassierten Gelder ab. Wie kritisch die Situation besonders in Deutschland ist, zeigt eine Studie des Sicherheitsdienstleisters Venafi: Demnach sind hierzulande die Webshops der 20 größten Online-Händler über 7.000 Mal nachgebaut worden.
Verkürzte Laufzeiten werden an dieser Situation meiner Ansicht nach nichts ändern. Die RWTH Aachen University kommt in einer groß angelegten Untersuchung über Phishing-Websites zu dem Ergebnis, dass kürzere Laufzeiten die Internet-Sicherheit nicht verbessern. Die Gültigkeitsdauer sicherer Webseiten ist mit durchschnittlich 412 Tagen länger als diejenige gefälschter Webseiten mit 252 Tagen.
Entscheidend für deren Sicherheit und Echtheit ist vielmehr der eingesetzte Zertifikatstyp. Als resistenter gegen Cyberangriffe erwiesen sich in der Untersuchung sogenannte organisationsvalidierte und erweitert validierte Zertifikate (OV-/EV-Zertifikate). Bei diesen wird die Identität des Webseitenbetreibers durch eine vertrauenswürdige Institution, den Vertrauensdiensteanbieter oder Trustcenter, gründlich geprüft. Laut RWTH Aachen besaßen nur 0,4 Prozent der gefälschten Webseiten ein EV-Zertifikat mit umfangreicher Identitätsprüfung. Umgekehrt sind Zertifikate mit dem geringsten Sicherheitsniveau, sogenannte domainvalidierte Zertifikate (DV-Zertifikate) ohne Identitätsprüfung, besonders anfällig: Fast 85 Prozent der Phishing-Angriffe werden über Webseiten durchgeführt, die entweder ausschließlich DV-Zertifikate oder gar keine Zertifikate enthalten.
Die Attraktivität von Zertifikaten mit Identitätsprüfung verringert sich
Maßnahmen für mehr Sicherheit in der Internet-Kommunikation sollten deshalb dabei helfen, den Einsatz von Zertifikaten mit einem höheren Sicherheitsniveau zu fördern. Doch verkürzte Laufzeiten können genau zum Gegenteil führen. Eine reduzierte Gültigkeitsdauer für alle Zertifikatstypen verringert die Attraktivität von Website-Zertifikaten mit Identitätsprüfung. Denn diese Prüfung fällt jetzt in immer kürzeren Abständen an.
Der so entstandene Mehraufwand kostet den Webseitenbetreiber Zeit und Ressourcen. Automatisierte Prozesse bei der Laufzeitverlängerung können hier weiterhelfen. Sie können in der Regel jedoch nur von Unternehmen mit spezialisierten IT-Abteilungen oder Dienstleistern umgesetzt werden. Es besteht daher die Gefahr, dass Anwender aufgrund des höheren Aufwands eher zu domainvalidierten Zertifikaten mit einem niedrigen Sicherheitsniveau tendieren.
Europäische Zertifikatsinitiativen werden ignoriert
Die EU hat die Bedeutung einer sicheren Identität für die Online-Kommunikation früh erkannt und bereits 2014 das qualifizierte Webseitenzertifikat (QWAC) eingeführt. QWACs basieren auf einer gründlichen Identitätsprüfung durch einen qualifizierten Vertrauensdiensteanbieter (qVDA), der höchste Anforderungen an Sicherheit und Zuverlässigkeit erfüllen muss. Entsprechend vertrauenswürdig sind die im Zertifikat hinterlegten Informationen über die Identität des Webseitenbetreibers.
Die Informationen über Anbieter, die QWACs ausstellen dürfen, befinden sich in der EU Trusted List. Diese wird jedoch durch die Root Stores der Browserhersteller bisher nicht unterstützt. Das Ergebnis: Die QWACS werden in den Browsern weder verarbeitet noch angezeigt.
Fazit
Kürzere Laufzeiten führen nicht zu mehr Sicherheit bei der Online-Kommunikation. Wesentlich wirksamer ist die breitere Nutzung von identitätsgeprüften Zertifikaten. Diese gilt es gezielt zu fördern. Die Verarbeitung und Anzeige der QWACs durch die Browserhersteller auf europäischer Ebene wäre ein wichtiger Schritt in die richtige Richtung.
Über den Autor: Enrico Entschew ist Senior Technical Product Manager PKI bei D-TRUST, einem Unternehmen der Bundesdruckerei.
(ID:47079965)
:quality(80)/p7i.vogel.de/wcms/f6/af/f6af498e03304233f4dffd7f90d3b445/0109560034.jpeg "Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Gerade im Mittelstand bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern. (Bild: Andrey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")