TLS-Reifegradmodell

Wichtige Schritte zur TLS-Impementierung

| Autor / Redakteur: Ivan Ristic* / Stephan Augsten

Viele Unternehmen können überhaupt nicht nachvollziehen, auf welchem Stand sie hinsichtlich der TLS-Sicherheit sind.
Viele Unternehmen können überhaupt nicht nachvollziehen, auf welchem Stand sie hinsichtlich der TLS-Sicherheit sind. (Bild: Tomasz Zajda - Fotolia-com)

Über die Jahre ist es nicht etwa einfacher geworden, Transport Layer Security (TLS) auf sichere Weise einzusetzen, ganz im Gegenteil. Ein TLS-Reifegradmodell könnte aber vielen Unternehmen dabei helfen, die wirklich wichtigen Punkte der TLS-Implementierung im Auge zu behalten.

Ein wesentlicher Teil meiner Arbeit für SSL Labs besteht darin, anderen bei der Verbesserung ihrer TLS-Sicherheit zu helfen. Dies geschieht sowohl direkt als auch indirekt, unter anderem durch die Entwicklung von Tools und das Verfassen von Dokumentationen.

Dabei hat sich gezeigt, dass Unternehmen ihre TLS-Sicherheit zwar verbessern möchten, aber nicht wissen, wo sie gerade stehen, wo sie eigentlich stehen müssten und wie sie dort hingelangen. Deswegen möchte ich ein TLS-Reifegradmodell vorstellen – ein konzeptionelles Einsatzmodell, das beschreibt, wie zuverlässige TLS-Sicherheit erreicht werden kann.

Dieses Modell besteht aus sechs Reifegraden. IT-Teams, die es erstmals anwenden, sollten davon ausgehen, dass sie ganz unten stehen, und sich von dort aus hocharbeiten, indem sie ihre Sicherheitsaufstellung überprüfen.

Reifegrad 0 – Das Chaos regiert

Auf dem Reifegrad 0 herrscht Chaos. Es existieren keine Richtlinien oder Regeln für TLS, die Sicherheit ist dem Zufall überlassen (z.B. herstellerseitigen Voreinstellungen) und wird von einzelnen Personen und Ad-hoc-Maßnahmen dominiert. Man kann also nicht wissen, wie es aktuell um die Sicherheit bestellt ist und wie sie sich entwickeln wird. Selbst wenn eine bestehende Website sicher ist, kann man nicht davon ausgehen, dass neue Projekte ähnlich gut abschneiden werden. Jeder beginnt erst einmal auf dieser Stufe.

Reifegrad 1 – Sichtbarkeit erhöhen

Beim Reifegrad 1 geht es darum, den aktuellen Status einzuschätzen – ganz gleich, wie er aussieht. Um auf diese Ebene zu gelangen, muss das IT-Team ein vollständiges und aktuelles Inventar seiner SSL/TLS-Server anlegen. Zudem muss das Team die Sicherheit jedes einzelnen Servers überprüfen, um festzustellen, auf welcher Ebene des Reifegradmodells er sich befindet. Mit diesem Wissen kann man dann die gewünschte Ziel-Ebene für jeden Server festlegen und planen, wie sie sich erreichen lässt.

Reifegrad 2 – (Neu-) Konfiguration

Beim Reifegrad 2 liegt der Fokus ausschließlich auf der Sicherheit des TLS-Protokolls; höhere Protokolle werden ignoriert. Dieser Reifegrad ist der, über den wir am meisten reden, der aber in der Regel am einfachsten zu erreichen ist. Bei modernen Systemen geht es hier hauptsächlich um die Neukonfiguration von Servern. Ältere Systeme werden vielleicht ein Upgrade benötigen, oder es muss ihm schlechtesten Fall ein sichererer Proxy vor ihnen installiert werden.

Reifegrad 3 - Anwendungssicherheit

Beim Reifegrad 3 geht es darum, die höheren Anwendungsprotokolle abzusichern und dabei Probleme zu vermeiden, die andernfalls die Verschlüsselung gefährden könnten. Im Hinblick auf Websites muss auf dieser Stufe darauf geachtet werden, dass nicht in einer Anwendung oder auf einer Seite Klartext und verschlüsselte Bereiche vermischt werden.

Mit anderen Worten: die gesamte Anwendungsoberfläche muss verschlüsselt werden. Außerdem müssen alle Cookies der Anwendung sicher sein und beim Eintreffen auf ihre Integrität überprüft werden, um sich vor Cookie Injection zu schützen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43552787 / Protokolle und Standards)