:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Grundlegende Sicherheitsüberlegungen für Netzwerke – Teil 7 Symmetrische Verschlüsselungsverfahren – Eine Einführung
Neben der allgemeinen Sicherheitsproblematik stellt sich sowohl für Nutzer der Internet-Technologien als auch für die Administration kommerzieller Intranets die Frage nach der Sicherung von Transaktionen im Rahmen des E-Commerce und der Elektronischen Dokumentenverarbeitung. Dieser Beitrag gibt hierzu einen Überblick über Sicherheitsstandards und erläutert, wie Verschlüsselungsverfahren prinzipiell funktionieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die Grundphilosophie des akademischen Internet war die Gutwilligkeit der Benutzer und die Offenheit des Systems. Doch hier haben die Designer wirklich zu viel des Guten getan. Das sieht man an vielen Stellen: das ProtokollTCP/IP ist auf offene Kommunikation optimiert, möglichst jeder Rechner soll das Protokoll implementieren können. Dafür hat man auf viele Leistungsmerkmale verzichtet, die in anderen Protokollen, wie z.B. den OSI-Protokollen für die Schicht 4 enthalten sind, besonders aber auf jedwede Sicherheitsfunktion.
Auch in neueren Protokollen, wie der Management-Umgebung SNMP (Simple Network Management Protocol) ist der Grundgedanke der generellen Vertrauenswürdigkeit enthalten, denn wie wäre es sonst zu verstehen, dass die Kommunikation zwischen Administratoren und Geräten völlig ungeschützt abläuft.
Sicherheitsstandards im TCP/IP-Protokolluniversum
Man kann Sicherheitsfunktionen in verschiedenen Schichten einbauen und diese auch untereinander kombinieren. Im Zusammenhang mit der Internet-Technologie arbeitet man entweder unter oder über der TCP-Protokollschicht.
Ein Ansatz für sicheres IP ist IPsec, welches eine Verschlüsselung auf dieser Schicht ermöglicht. Dies wird allerdings seltener benutzt. Es drückt nämlich sehr auf die Leistung beim Routing und macht Layer-4-Switches völlig unbrauchbar. Denn es codiert auch Header-Daten, die ein Layer-4-Switch dringen für die Flow-Control-Funktion benötigt. Außerdem wird die maximale Rahmengröße überschritten, was die meisten Switches ebenfalls fürchterlich durcheinanderbringt.
IPsec sichert Daten mittels Verschlüsselung. Dazu kodiert es ein IP-Datenpaket bis auf den IP-Header komplett. Der Inhalt des Paketes ist auf diese Weise geschützt. Allerdings kommt auch niemand mehr an die Steuerinformationen im TCP-Header heran, der ja nach dem IP-Header kommt und einfach mitverschlüsselt wird.
Für neuere Anwendungen hat man jedoch Protokolle entworfen, die z.B. die Qualität einer Verbindung von einem Ende zum anderen sicherstellen wollen. Dies geht aber nur dann, wenn die Switches, die die Verbindung letztlich realisieren entsprechende Steuerinformationen bekommen können. Die Schicht 4 ist die erste Schicht von unten, die wirklich Steuer-Informationen von einem Ende der Verbindung zum anderen Ende beinhaltet. Dies ist schon seit den ersten Tagen des OSI-Modells vor über 25 Jahren so.
Neue Netze, z.B. mit Gigabit Ethernet ermöglichen es z.B. als Qualitätsparameter, den maximalen zeitlichen Abstand zwischen zwei Datenpaketen festzulegen. Dies braucht man für alle Arten der isochronen Übertragung, wie z.B. Video- und Audiostreams. Es ist also sinnvoll, die neuen und zusätzlichen Steuerinformationen in die Schicht 4, also das TCP-Protokoll zu packen. Die ganz neuen Switches arbeiten nun mit der Auswertung dieser Informationen, z.B. indem sie Warteschlangen für hochpriorisierten Verkehr optimieren oder die Bedienung von Ports systematisch beeinflussen.
Versteckte Steuerinformationen
Wenn man aber die Steuerinformation versteckt, so wie das IPsec tut, findet auch der Switch diese nicht mehr. Schlimmer noch: die auf der Schicht 4 nicht mehr protokolltransparenten Switches verwerfen die betreffenden Pakete und quittieren dies mit einer Fehlermeldung. Beim Routing verursacht IPsec Leistungsprobleme. Wenn Pakete mit diesem Verfahren verschlüsselt werden, hängt IPsec zusätzliche Bytes in Form von IPsec-Headern an das Datenpaket an. Dadurch wird es natürlich vergrößert, und das reduziert den Durchsatz.
weiter mit: Netzabsicherung meist überflüssig
(ID:2052466)
:quality(80)/p7i.vogel.de/wcms/15/11/1511103c458971dbd7e1fc7646d53550/0104313435.jpeg "Ein VLAN ist ein logisches Teilnetzwerk eines physischen lokalen Netzwerks (LANs). (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a9/a0/a9a0c050c8809f667cc22f399eb51f6a/0106316922.jpeg "Das Link Layer Discovery Protocol (LLDP) ist ein Protokoll für den Informationsaustausch benachbarter Netzwerkgeräte. (Bild: gemeinfrei)")