Stevan Milic WebWi Blog

Wenn man über IT-Sicherheit spricht, fallen meist die Begriffe „AES“ (Advanced Encryption Standard), „SSL“ (Secure Sockets Layer) und „PKI“ (Public-Key-Infrastructure). IT-Abteilungen meinen, dass das gute Technologien sind und man mit ihnen fast alle Sicherheitsprobleme lösen kann. Der Autor stellt dies in Frage und führt folgende Beispiele an: (Schwenk 2014, S. 325f)

• Die AES-Verschlüsselung kann durch Padding Oracle-Angriffen gebrochen werden. Auch die Schlüssellänge kann hier keine Abhilfe leisten. Besonders die Verwendung des CBC-Modus und die Fehlermeldungen des Server-Orakels sind als kritisch anzusehen.
• B.E.A.S.T, C.R.I.M.E und Lucky13 (Attacken) können SSL-Verschlüsselungen brechen.
• Die PKI-Infrastruktur und X.509-Zertifikate sind derart komplex, so dass regelmäßige Angriffe möglich sind. Hier erfolgen die Angriffe auf Zertifizierungsstellen (Beispiel Comodo oder DigiNotar), auf die Verwendung von MD5 als Hashfunktion. Zudem kann die Evaluierung der Zertifikatsketten unzureichend sein und so Angriffe erleichtern.

Das führt uns vor Augen, dass Unternehmen heutzutage dringend mehr qualifiziertes Personal benötigen. Obendrein muss man immer auf dem neuesten Stand der IT-Sicherheit sein. Daher lohnt es sich, die IT-Mitarbeiter auf Konferenzen zu schicken. Dort werden die neuen Angriffsmethoden vorgestellt und welche Verteidigungsmechanismen anzuwenden sind. (ebd., S. 326)

Der Transport Layer Security-Standard (kurz: TLS) ist fast überall im Einsatz, besonders in der Verschlüsselung von Datenverkehr in Netzwerken. Beispielsweise wird TLS zum Abruf von E-Mails im WWW, als EAP-Protokoll für WLANs oder als TLS-VPN eingesetzt. Da meist nur der Server authentifiziert wird - über fehleranfällige PKI-basierte Zertifikatsketten - sind Angriffe möglich. Nachfolgend werden einige angeführt: (ebd., S. 326f)

• Man-in-the-Middle-Angriffe sind möglich, wenn die vom Server gesendete Zertifikatskette nicht ausreichend geprüft wurde, oder eines der Zertifikate nicht vertrauenswürdig ist.
• TLS-RSA gewährt keine Perfect Forward Secrecy. Falls der Fall eintritt, dass der private Schlüssel des Servers offenbart wird, können auch alle vorangegangenen Verbindungen entschlüsselt werden.
• TLS taugt nur zur Absicherung einer TCP-Verbindung. Wenn Protokolle mehrere TCP-Verbindungen nutzen (Beispiel SMTP), dann ist die Absicherung mittels TLS schwierig und kann durchaus versagen.

Fazit

Als Laie versteht man die komplexe Welt der IT-Sicherheit kaum. Besonders wenn man ein Unternehmen führt, sollte man einen IT-Sicherheitsexperten zurate ziehen. Dieser sollte wiederum alle verfügbaren Sicherheitstechnologien kennen - besonders die neuen, damit das Unternehmen auf der sicheren Seite ist.

Man muss sich darüber im Klaren sein, dass Lösungen wie SSL, PKI oder AES, Lösungen der Vergangenheit sind. Für die Zukunft werden neue, sicherere Lösungen benötigt. Diese können natürlich nur von Spezialisten entwickelt werden und müssen vor dem Einsatz gründlich getestet werden. Denn nur durch das Testen der Lösungen können Sicherheitslücken schon vorneweg geschlossen werden.

Quelle:

Schwenk, J. (2014): Sicherheit und Kryptographie im Internet. Wiesbaden: Springer Vieweg, 4. Auflage