:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DDoS-Schutz auf Anwendungsebene Hacker nehmen vermeintlich sichere Web-Dienste ins Visier
Der Online-Handel boomt und mit ihm digitales Banking. Um E-Commerce- und Online-Banking-Transaktionen für Endverbraucher sicher zu gestalten, verwenden Anbieter für diese Transaktionen eine Verschlüsselung. Doch weil die sensiblen personenbezogenen Informationen und Finanzdaten für Cyberkriminelle ein attraktives Ziel sind, versuchen sie, Verschlüsselungen und Sicherheitsprotokolle zu umgehen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Im vergangenen Jahr kauften deutsche Verbraucher Waren und Dienstleistungen im Wert von über 74 Milliarden Euro im Internet. Damit wurde jeder achte Euro des gesamten Einzelhandels im Onlinegeschäft ausgegeben. Auch Bankgeschäfte werden fast nur noch digital erledigt: Mehr als drei Viertel der deutschen Internetnutzer führen ihre Finanzangelegenheiten online durch. Banking-Anbieter setzen für Finanz-Transaktionen zwar auf eine sichere Verschlüsselung, aber Finanzdaten sind für Cyberkriminelle ein attraktives Ziel und damit sind auch die schützenden Verschlüsselungen und Sicherheitsprotokolle ein Ziel für ihre Angriffe.
Insbesondere Angreifer von Distributed-Denial-of-Service (DDoS) -Attacken zielen daher auch immer öfter auf diese verschlüsselten Dienste. Bei einer DDoS-Attacke werden Server, Web-Dienste, IT-Komponenten oder die IT-Infrastruktur solange mit Datenverkehr überlastet, bis diese nicht mehr verfügbar sind. Laut dem 13. Sicherheitsbericht von Netscout Arbor berichten 53 Prozent der befragten Institutionen – hierzu gehören Unternehmen, Bildungseinrichtungen und Behörden – von Angriffen auf verschlüsselte Dienste. Darüber hinaus verzeichnen 42 Prozent von ihnen DDoS-Angriffe auf die Transport Layer Security, beziehungsweise das Secure-Sockets-Layer- (TLS/SSL) Protokoll. Dies ist ein hybrides Verschlüsselungsprotokoll, das eine sichere Datenübertragung im Netz gewährleisten soll.
:quality(80)/images.vogel.de/vogelonline/bdb/1393800/1393872/original.jpg "Die Version 1.3 des TLS-Protokolls schneidet nicht nur alte Zöpfe ab und führt lange überfällige Neuerungen ein, sondern zeigt eine Menge an gesundem Menschenverstand. (vector_master - stock.adobe.com)")
Transportverschlüsselung Teil 1
TLS 1.3 - Viel heiße Luft oder ein großer Wurf?
Doch der Datenverkehr, der bei Angriffen auf die Anwendungsschicht anfällt, ist nur sehr schwer vom echten Benutzer-Traffic zu unterscheiden. Um daher Aktivitätsmuster zu identifizieren, die an einem Angriff beteiligt sind, muss die tatsächliche Transaktion auf der Anwendungsschicht analysiert werden. Fortschritte in der Verschlüsselungstechnologie, beispielsweise die neueste Version der Transport Layer Security (TLS 1.3), können es erschweren, Bedrohungen zu identifizieren und zu blockieren. Viele netzwerkbasierte Lösungen zur Bedrohungs- und Betrugserkennung haben sich in der Vergangenheit auf eine transparente, passive Entschlüsselung von verschlüsselten Sitzungen über den Zugriff auf die privaten Schlüssel des Servers verlassen. Mit der Einführung von TLS 1.3 ist das nicht ganz so einfach, da nicht alle Informationen, die zum Entschlüsseln einer Sitzung benötigt werden, von der Leitung mitgelesen werden können. TLS 1.3 schreibt vor, dass das Konzept Perfect Forward Secrecy (PFS) benutzt werden muss, um die Vertraulichkeit der Kommunikation zu erhöhen.
Die gemeinsame Nutzung von Schlüsseln
Ein möglicher Ansatz, um sich gegen Angriffe auf die Anwendungsschicht zu schützen, kann die Verwendung eines Content Delivery Networks (CDN) sein. Wenn verschlüsselte Dienste geschützt werden, kann dies bedeuten, dass der Diensteigentümer private Schlüssel zur Nutzung durch den Drittanbieter übergibt oder erzeugt. Unabhängig davon, ob dies der Fall ist oder nicht, beendet und entschlüsselt der CDN-Anbieter die Kundenkommunikation zur Überprüfung in seiner Umgebung. Dies hilft, DDoS-Angriffe auf Anwendungsebene zu minimieren. Für manche Kunden ist das Risiko einem Drittanbieter die Schlüssel zu übergeben akzeptabel, für andere nicht.
Die zweiten Option ist es, ein Reverse-Proxy im Netzwerk zu verwenden. Die Nutzung eigener Reverse-Proxies sind für das Load-Balancing üblich, und sie ermöglichen die Überprüfung des Datenverkehrs. Da der Proxy jedoch anfällig für Überlastungsangriffe ist (TCP State Exhaustion), wäre es sinnvoll, wenn er wiederum der DDoS-Abwehrlösung Telemetrie-Daten zur Verfügung stellt. So kann der angreifende Host identifiziert und blockiert werden. Überlastungsangriffe zielen darauf ab, in Geräten der Internetinfrastruktur, wie Firewalls und Load-Balancern, alle verfügbaren TCP-Verbindungen zu belegen. Angriffe auf Applikationsebene führen ganz allmählich, und damit schleichend, zur Überlastung der Ressourcen von Applikationsservern. Mit Bezug auf den Proxy versuchen derartige Angriffe, seine Fähigkeiten zur Sitzungsverwaltung zu beinträchtigen. Diesem Problem kann begegnet werden, indem dem Reverse-Proxy eine DDoS-Schutzlösung vorgeschaltet wird, die sowohl State-Exhaustion-Angriffe als auch Angriffe auf die TLS-Aushandlung identifizieren und blockieren kann.
Es gibt jedoch noch eine dritte Option: die transparente, passive Entschlüsselung. Wie erwähnt, müssen jedoch im Zusammenhang mit TLS 1.3 einige Aspekte beachtet werden. Eine passive Entschlüsselung ist nach wie vor möglich, wenn ephemere Diffie-Helman-Chiffren (wie in TLS 1.3 genutzt) verwendet werden. Zusätzlich sind statische Schlüssel sitzungsübergreifend wiederzuverwenden. Dabei werden die Schlüssel unter Verwendung einer Key-Management-Plattform in der gesamten Netzwerksicherheitslösung verteilt und dann periodisch gewechselt. Dieser Mechanismus ermöglicht eine transparente Entschlüsselung des Datenverkehrs, um Bedrohungen zu identifizieren und zu blockieren, ähnlich wie bei bestehenden Mechanismen vor TLS 1.3.
:quality(80)/images.vogel.de/vogelonline/bdb/1495400/1495432/original.jpg "eTLS ist ein vergleichsweise durchsichtiger Versuch einiger Interessengruppen, die Forward Secrecy von TLS 1.3 durch die Hintertüre eines ETSI-Standards abzuschaffen. Er bietet nicht mehr Sicherheit, sondern ist eine Einladung zur Cyberspionage. (3dkombinat - stock.adobe.com)")
Transportverschlüsselung kontra Industrie
eTLS hebelt Forward Secrecy von TLS 1.3 wieder aus
Fazit
Je nach unternehmerischen und gesetzlichen Anforderungen, sollte IT-Security immer individuell betrachtet und ein auf die eigenen Bedürfnisse angepasstes Konzept verfolgt werden. Da jedoch DDoS-Angriffe auf die Applikationsebene immer häufiger auftreten, müssen Unternehmen eine geeignete Lösung finden, wobei die Verschlüsselung unerlässlich bleibt. 2017 stieg die Anzahl der Attacken auf Anwendungsebene bei Unternehmen um 30 Prozent. Die meisten DDoS-Attacken führten dabei zu einer Überlastung der Bandbreite bei den Betroffenen. Dies war bei mehr als jedem Zweiten (57 Prozent der Unternehmen) der Fall.
Über den Autor: Guido Schaffner ist Channel Sales Engineer bei Netscout Arbor. Er ist seit über 20 Jahren in der IT-Branche tätig und verfügt über umfassende Erfahrung in der Netzwerktechnik und dem -management sowie in der IT-Sicherheitstechnik.
(ID:45698502)
:quality(80)/p7i.vogel.de/wcms/1f/5b/1f5b2cf57ae06e1a3ab5911202436933/0111045294.jpeg "Durch DDoS-Angriffe waren im zweiten Halbjahr 2022 weltweit mehr als eine Milliarde Websites betroffen. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")