:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Transportverschlüsselung Teil 3 HTTPS mit TLS 1.3 in der Praxis
Wem die Sicherheit von HTTPS-Verbindungen am Herzen liegt, der ist gut beraten, die TLS-Konfiguration zu überdenken, denn ohne eine moderne Transportverschlüsselung sind gute Vorsätze beim Datenschutz nur ein Papiertiger. Zwar ist TLS 1.3 nun offiziell aus den Startlöchern, aber die Implementierung ist leider voller Tücken und Überraschungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Da die Verwundbarkeiten des TLS-Protokolls bis einschließlich Version 1.2 allgemein bekannt sind (siehe dazu den Bericht „TLS 1.3 - Viel heiße Luft oder ein großer Wurf?“) ist davon auszugehen, dass das Herumschnüffeln an vermeintlich „verschlüsselten“ HTTPS-Verbindungen öfter vorkommen dürfte als einem lieb sein mag. TLS 1.3 verspricht Abhilfe. Leider ist die Implementierung voller Tücken und Überraschungen.
Es beginnt schon damit, dass ein völliger Verzicht auf TLS 1.2 als einen Fallback für Clients mit fehlender Unterstützung für TLS 1.3 vorerst nicht in Frage kommt.
:quality(80)/images.vogel.de/vogelonline/bdb/1395000/1395071/original.jpg "Verstöße gegen eine CSP-Richtlinie mit Meldepflicht: Mit einer CSP-Richtlinie lassen sich http-Verbindungen zu Skripten und anderen Ressourcen aus externen Quellen unterdrücken, eventuelle Fehler meldet der Server im Beispiel an den Analytics-Dienst report-uri.io für eine weitergehende Analyse.")
:quality(80)/images.vogel.de/vogelonline/bdb/1395000/1395072/original.jpg "Auf Nummer sicher: Zum Prüfen der HTTPS-Sicherheitsheader einer Website empfiehlt sich der Online-Dienst von Sophos.")
:quality(80)/images.vogel.de/vogelonline/bdb/1395000/1395073/original.jpg "Alles im grünen Bereich: Der SSL-Test von Qualys SSL Labs prüft die HTTPS-Konfiguration eines Webservers auf Herz und Nieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1395000/1395018/original.jpg "Mit der Androhung von Sanktionen für die fehlende Transportverschlüsselung sorgte Google vielerorts für hektische Betriebsamkeit im Zuge einer chaotischen Umstellung auf HTTPS. (bakhtiarzein - stock.adobe.com)")
Transportverschlüsselung Teil 2
Webmaster in der HTTPS-Pflicht
Server-Unterstützung für TLS 1.3 mit einem TLS 1.2-Fallback einrichten
Die Umsetzung von TLS 1.3 setzt so Einiges an Handarbeit voraus.
Schritt 1: Ein Kernel-Upgrade installieren:
Der Einsatz von TLS 1.3 steht und fällt mit einem Linux-Kernel ab der Version 4.13 („1600 LoC-Patch“). Linux-Kernel bis einschließlich Version 4.12 unterstützten nur maximal AES-128-GCM (gemäß RFC 5288) und scheiden damit aus. Die AEAD-Verschlüsselung, die TLS 1.3 automatisch erwartet, ist erst mit dem sogenannten 1600 LoC-Patch möglich. Mit diesem Patch kann Linux erstmals die Verschlüsselung für eine bereits bestehende Verbindung intern im Kernel (ab Version 4.13) handhaben. Der User-Space übergibt dem Kernel die Kryptoschlüssel für eine bereits aufgebaute Verbindung, sodass die Verschlüsselung transparent innerhalb des Kernels stattfindet. CentOS/RHEL in der Version 6 bleiben mit ihrem 2.6.x-er Kernel außen vor.
Schritt 2. Ein OpenSSL-Upgrade einspielen:
Linux-Distributionen richten standardmäßig „stabile“ (sprich: veraltete) Versionen der OpenSSL-Bibliothek ein, die mit TLS 1.3 bisher nicht zu Recht kommen. OpenSSL muss in der Version 1.1.1 Beta 4 oder neuer vorliegen.
Schritt 3. Zertifikate von einer Zertifizierungsstelle (CA) beschaffen und einrichten:
Zertifizierungsstellen (CAs) gibt es wie Sand am Meer. Doch in der Vergangenheit waren SSL-Zertifikate ein schmerzhafter Kostenpunkt. Dank der kostenfreien SSL-Zertifikate von Let’s Encrypt hat sich endlich dieses Problem größtenteils erledigt. Die leistungsstarke API sorgt für eine schmerzlose Automatisierbarkeit auf allen Unix/Linux-Derivaten.
Schritt 4. Den Webserver konfigurieren:
Wer die benötigten SSL-Zertifikate installiert hat, kann sich im nächsten Schritt der Server-Konfiguration widmen. Die Details der Implementierung hängen von der Art und Versionsnummer des Webservers ab. Grundlegende Parameter zum Aktivieren der SSL-Verschlüsselung in Apache, Nginx, Lighttpd, HAProxy und AWS ELB lassen sich einem Online-Assistenten wie dem SSL Configuration Generator von Mozilla entnehmen. Leider halten sich die Fähigkeiten dieses Werkzeugs in argen Grenzen. Es fehlt hier u.a. die Unterstützung für TLS 1.3 und auch TLS 1.2 leidet unter mangelnder Beachtung (Diffie-Hellman gefälligst? Fehlanzeige). Die Übernahme von Konfigurationsparametern für die TLS-Verschlüsselung nach dem Fertiggericht-Prinzip gehen nach hinten los.
Sicherheitsbewussten Administratoren bleibt nichts anderes übrig als die fehlenden Parameter für den eigenen Webserver samt der passenden Syntax selbst zu eruieren. Zu den wichtigsten Ergänzungen bzw. Korrekturen zählen:
- Aktivieren der Unterstützung für HTTP/2
- Umlenkung von HTTP-Anfragen auf HTTPS
- Unterbinden von Protokoll-Downgrades auf HTTP unter Verwendung von HSTS
- Einrichtung von Browser-Anweisungen mit Hilfe von Sicherheits-Headern (HTTP Security Headers, verfügbar nur mit HTTPS): HTTPS-Sicherheitsheader sorgen für die Übergabe von Anweisungen durch den Webserver an einen (kompatiblen) Webbrowser, um sein Verhalten zu beeinflussen. Zum Schutz gegen Downgrade-Attacken und Cookie-Hijacking lässt sich unverschlüsselte Kommunikation mit dem so genannten HSTS-Header deaktivieren (HSTS steht für HTTP Strict Transport Security). Gegen Clickjacking-Attacken hilft ein X-Frame-Options-Header. Um das Aushebeln von deklarierten Mime-Typen zu verhindern, kommen X-Content-Type-Optionen zum Einsatz. Für den Schutz gegen Cross-Site-Request Forgeries (kurz: X-XSS) zeichnet der X-XSS-Protection-Header verantwortlich. Diese Einstellungen können die verfügbare Angriffsfläche stark reduzieren.
- Deaktivieren verwundbarer Protokollversionen: Als sicher gelten derzeit nur TLS 1.2 und TLS 1.3
- Optimieren der TLS 1.2-Konfiguration zur Härtung durch den Verzicht auf verwundbare Cipher-Suites: Als verwundbar gelten alle Cipher-Suites außer ECDHE- und DHE-basierter Varianten
Eine nicht zu unterschätzende Verwundbarkeit, die sich durch die Umstellung auf HTTPS nicht von selbst erledigt, stellt JavaScript-Code von externen Domains dar. Ein klassisches Beispiel sind Werbeeinblendungen. Mit einer aktivierten CSP-Richtlinie (kurz für Content Security Policy) können Website-Betreiber für eine erhöhte Sicherheit sorgen. Bei CSPs handelt es sich um Sicherheitsrichtlinien, welche unsichere Web-Inhalte aus externen Quellen und Verbindungen über HTTP unterdrücken können. So lassen sich nicht zuletzt auch Clickjacking- und andere Code-Injection-Attacken unterbinden.
Schritt 5. Konfiguration testen:
Zu guter Letzt gilt es, die Konfiguration mit einem Dienst wie der SSL Server Test von Qualys SSL Labs auf ihre Vollständigkeit hin zu überprüfen.
Encrypted Traffic Analytics
Eine robuste Transportverschlüsselung hat jedoch auch ihre Schattenseiten: Malware kann jetzt einfach unbemerkt durchsegeln.
Beim Einsatz von TLS bis einschließlich der Version 1.2 (insbesondere mit RSA-Ciphern) konnten IT-Fachkräfte den Datentransfer z.B. vor dem Eingang ins firmeneigene Datencenter auf bösartige Payloads hin überprüfen. Die Kommunikation wurde in diesem Fall durch sogenannte Middleboxes eingelesen, dechiffriert, analysiert und weitergeleitet. Mit TLS 1.3 gehört diese Art von Monitoring der Vergangenheit an. Denn beim Verbindungsaufbau über TLS 1.3 mit ephemeralen Diffie-Hellman-Schlüsseln schlägt die sogenannte „Deep-Packet Inspection“ fehl, weil sich die Kommunikation in Echtzeit nicht ohne Weiteres dechiffrieren lässt — und schon erst recht nicht in Echtzeit. Das Bedürfnis an adäquaten Sicherheitsmaßnahmen für die Unternehmens-IT besteht jedoch weiter.
So mussten sich die Anbieter von Sicherheitslösungen für Traffic-Analytics bei TLS 1.3 nach alternativen Wegen zur Gewährleistung der Integrität der internen Systeme umschauen. Die ersten konkreten Produkte sind bereits auf dem Markt. Alleine Cisco hat vier interessante Lösungen im Köcher:
- Cisco Umbrella untersucht den DNS-Traffic, um einen Verbindungsaufbau, bei dem ein Verdacht auf Malware-Übermittlung besteht, gleich im Vorfeld zu unterbinden.
- Cisco Encrypted Traffic Analytics (ETA) kann bedrohliche Kommunikationsverbindungen aufspüren, ohne die Verschlüsselung der betreffenden Daten aufzuheben. Anstatt zu versuchen, TLS-1.3-Verschlüsselung auf Biegen und Brechen zu dekodieren, nimmt ETA „sichtbare“ Telemetrie-Daten von Switches und Routern unter die Lupe. Anhand der Analyse von Informationen wie der Länge von Datenpaketen, ihren Ankunftszeiten und diverser Merkmale der anfänglichen Handshakes kann ETA verdächtige Aktivitäten identifizieren.
- Cisco Stealthwatch Cloud nutzt maschinelles Lernen, um in den verfügbaren Metadaten auffällige Anomalien aufzuspüren. Cisco kam in den Besitz dieser Technologie mit der Übernahme von Observable Networks mit ihrer gleichnamigen Software.
- AMPE (Advanced Malware Protection for Endpoints) nimmt sich eingehende Datenpakete nach dem Dechiffrieren auf dem Endgerät vor (da es in den Middleboxes ja nicht mehr geht). Es schützt unter anderem PCs, Laptops, Tablets und Smartphones.
Cisco ist bei Weitem nicht der einzige Anbieter.
Der Trend zu immer komplizierteren Algorithmen hält an. Professor Bill Buchanan von der Edinburgh Napier-Universität argumentiert, dass quantum-resistente Ciphern spätestens mit Supersingular-Isogeny Diffie-Hellman (SIDH) möglich wären. SIDH-basierte Lösungen sind ja bereits bei Unternehmen wie Cloudflare im Einsatz. Microsoft hat ein entsprechendes Add-on ja auch schon bereits zu OpenSSL beigesteuert. Der Trend zeigt eindeutig, dass der Bedarf an Encrypted Traffic Analytics ohne die Echtzeit-Entschlüsselung von Kommunikationsverbindungen in Zukunft nur noch weiter eskalieren wird.
Fazit
Inzwischen scheuen Webseitenbetreiber keine Mühe, um die Sicherheit ihrer Systeme mit Blick auf die EU-DSVGO zu verbessern. In einer wirklich sicheren Konfiguration von HTTPS sind lediglich die beiden neuesten Versionen des Protokolls, TLS 1.2 und TLS 1.3, zugelassen. Bei TLS 1.2 gilt es außerdem, unsichere Cipher-Suites und Protokoll-Downgrades zu unterbinden.
:quality(80)/images.vogel.de/vogelonline/bdb/1393800/1393872/original.jpg "Die Version 1.3 des TLS-Protokolls schneidet nicht nur alte Zöpfe ab und führt lange überfällige Neuerungen ein, sondern zeigt eine Menge an gesundem Menschenverstand. (vector_master - stock.adobe.com)")
Transportverschlüsselung Teil 1
TLS 1.3 - Viel heiße Luft oder ein großer Wurf?
Transportverschlüsselung Teil 2
Webmaster in der HTTPS-Pflicht
Über die Autoren: Filipe Pereira Martins und Anna Kobylinska von McKinley Denali Inc. sind als IT-Consultants auf Cybersecurity spezialisiert und sind für die Leser auf Twitter via @RealPro4Real, @CloudInsidr und @D1gitalInfo erreichbar.
(ID:45295578)
:quality(80)/images.vogel.de/vogelonline/bdb/1962600/1962619/original.jpg "Der Azure AD-Anwendungsproxy kann Anfragen aus dem Internet annehmen und an interne Server weiterleiten. Dadurch werden Zugriffe sicherer und unkomplizierter, ohne dass Firewalls im Unternehmen angepasst werden müssen. (ra2 studio - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934500/1934588/original.jpg "63 Prozent der untersuchten Webseiten aus dem Landkreis Donau-Ries erfüllte die Voraussetzungen für sichere Kommunikation nur unzureichend. (Quardia Inc. - stock.adobe.com)")