:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
TLS-Reifegradmodell Wichtige Schritte zur TLS-Impementierung
Über die Jahre ist es nicht etwa einfacher geworden, Transport Layer Security (TLS) auf sichere Weise einzusetzen, ganz im Gegenteil. Ein TLS-Reifegradmodell könnte aber vielen Unternehmen dabei helfen, die wirklich wichtigen Punkte der TLS-Implementierung im Auge zu behalten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Ein wesentlicher Teil meiner Arbeit für SSL Labs besteht darin, anderen bei der Verbesserung ihrer TLS-Sicherheit zu helfen. Dies geschieht sowohl direkt als auch indirekt, unter anderem durch die Entwicklung von Tools und das Verfassen von Dokumentationen.
Dabei hat sich gezeigt, dass Unternehmen ihre TLS-Sicherheit zwar verbessern möchten, aber nicht wissen, wo sie gerade stehen, wo sie eigentlich stehen müssten und wie sie dort hingelangen. Deswegen möchte ich ein TLS-Reifegradmodell vorstellen – ein konzeptionelles Einsatzmodell, das beschreibt, wie zuverlässige TLS-Sicherheit erreicht werden kann.
Dieses Modell besteht aus sechs Reifegraden. IT-Teams, die es erstmals anwenden, sollten davon ausgehen, dass sie ganz unten stehen, und sich von dort aus hocharbeiten, indem sie ihre Sicherheitsaufstellung überprüfen.
Reifegrad 0 – Das Chaos regiert
Auf dem Reifegrad 0 herrscht Chaos. Es existieren keine Richtlinien oder Regeln für TLS, die Sicherheit ist dem Zufall überlassen (z.B. herstellerseitigen Voreinstellungen) und wird von einzelnen Personen und Ad-hoc-Maßnahmen dominiert. Man kann also nicht wissen, wie es aktuell um die Sicherheit bestellt ist und wie sie sich entwickeln wird. Selbst wenn eine bestehende Website sicher ist, kann man nicht davon ausgehen, dass neue Projekte ähnlich gut abschneiden werden. Jeder beginnt erst einmal auf dieser Stufe.
Reifegrad 1 – Sichtbarkeit erhöhen
Beim Reifegrad 1 geht es darum, den aktuellen Status einzuschätzen – ganz gleich, wie er aussieht. Um auf diese Ebene zu gelangen, muss das IT-Team ein vollständiges und aktuelles Inventar seiner SSL/TLS-Server anlegen. Zudem muss das Team die Sicherheit jedes einzelnen Servers überprüfen, um festzustellen, auf welcher Ebene des Reifegradmodells er sich befindet. Mit diesem Wissen kann man dann die gewünschte Ziel-Ebene für jeden Server festlegen und planen, wie sie sich erreichen lässt.
Reifegrad 2 – (Neu-) Konfiguration
Beim Reifegrad 2 liegt der Fokus ausschließlich auf der Sicherheit des TLS-Protokolls; höhere Protokolle werden ignoriert. Dieser Reifegrad ist der, über den wir am meisten reden, der aber in der Regel am einfachsten zu erreichen ist. Bei modernen Systemen geht es hier hauptsächlich um die Neukonfiguration von Servern. Ältere Systeme werden vielleicht ein Upgrade benötigen, oder es muss ihm schlechtesten Fall ein sichererer Proxy vor ihnen installiert werden.
Reifegrad 3 - Anwendungssicherheit
Beim Reifegrad 3 geht es darum, die höheren Anwendungsprotokolle abzusichern und dabei Probleme zu vermeiden, die andernfalls die Verschlüsselung gefährden könnten. Im Hinblick auf Websites muss auf dieser Stufe darauf geachtet werden, dass nicht in einer Anwendung oder auf einer Seite Klartext und verschlüsselte Bereiche vermischt werden.
Mit anderen Worten: die gesamte Anwendungsoberfläche muss verschlüsselt werden. Außerdem müssen alle Cookies der Anwendung sicher sein und beim Eintreffen auf ihre Integrität überprüft werden, um sich vor Cookie Injection zu schützen.
Reifegrad 4 – Engagement
Beim Reifegrad 4 geht es um das langfristige Engagement für Verschlüsselung. Bei Websites erreichen Sie diese Stufe, indem Sie HTTP Strict Transport Security (HSTS) aktivieren, einen relativ neuen Standard, der von allen modernen Browsern unterstützt wird. HSTS setzt ein strikteres TLS-Sicherheitsmodell durch und bekämpft damit SSL-Stripping sowie Angriffe, die darauf basieren, dass ein Nutzer trotz Zertifikatswarnungen weiterklickt.
Reifegrad 5 – Robuste Sicherheit
Auf dem Reifegrad 5 richtet man sich in der PKI-Cloud eine eigene kleine Ecke ein, um sich vor der größten Schwäche der Public Key Infrastructure zu schützen: der Tatsache, dass jede Zertifizierungsstelle ein Zertifikat für jede beliebige Website ausstellen kann, ohne die Erlaubnis des Eigentümers zu haben. Dies lässt sich mit dem Einsatz von Public Key Pinning verhinden. Dabei legt man entweder fest, welche CAs Website-Zertifikate ausstellen dürfen, oder genehmigt jedes Zertifikat einzeln, was noch sicherer ist.
Das Mindestniveau
Dank der konzeptionellen Einfachheit des TLS-Reifegradmodells können wir leicht feststellen, wo wir gerade stehen und was wir tun müssen, um Verbesserungen herbeizuführen. So können wir unsere Aufmerksamkeit auf das konzentrieren, was wirklich wichtig ist. Reifegrad 5 bietet zwar die größte Sicherheit, bringt aber auch die meiste Arbeit mit sich und behandelt Risiken, die für die Mehrzahl der Websites gar nicht bestehen.
Man kann wohl sagen, dass der Reifegrad 4 ein Mindestniveau ist, das noch als sicher bezeichnet werden darf und das die meisten Unternehmen anstreben sollten. Die Reifegrade 1 bis 3 sollten als Zwischenstufen verstanden werden, die einen klaren Optimierungspfad vorzeichnen, bis schließlich Reifegrad 4 erreicht ist.
Wenn Sie gerade erst mit diesem Modell zu arbeiten beginnen, empfehle ich Ihnen, kleine Schritte zu machen. Nachdem Sie bei Reifegrad 1 angelangt sind, können Sie Ihr Vorgehen planen. Am besten ermitteln Sie die wichtigsten Dienste und sehen zu, dass diese schnell auf ihren endgültigen Reifegrad gebracht werden, selbst wenn andere Server deshalb vorerst auf niedrigeren Stufen verbleiben.
Die Erfahrung zeigt, dass es zudem am besten ist, zu den Reifegraden 2, 3 und 4 unabhängig und parallel überzugehen. Dies deswegen, weil für die verschiedenen Ebenen oft verschiedene Teams zuständig sind. Außerdem erfordern sie ein unterschiedliches Maß an Vorbereitung, Planung und Veränderung.
Wenn Sie nur wenig Zeit zur Verfügung haben, fokussieren Sie darauf, schnellstmöglich HSTS auf Ihren Servern zu aktivieren, auch wenn das bedeuten sollte, dass einige vorhergehende Reifegrade vernachlässigt werden. Viel Erfolg!
* Ivan Ristic ist Leiter der SSL Labs von Qualys.
(ID:43552787)
:quality(80)/p7i.vogel.de/wcms/c9/d5/c9d515aa851a17889f391a0e8a6a87bb/0111189716.jpeg "Ein Reifegradmodell ist ein Modell zur objektiven Beurteilung und Einordnung des IT-Sicherheitsniveaus einer Organisation. Es gibt verschiedene Level an Reifegraden der IT-Sicherheit. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")