[datensicherheit.de, 22.05.2023] „Eine Website DSGVO-konform zu betreiben ist eine komplexe Angelegenheit: Im Hintergrund werden zahlreiche Plugins, externe Ressourcen und andere Quellen geladen“, betont die PSW GROUP in ihrer aktuellen Stellungnahme. Website-Betreiber setzten sogenannte Cookies ein, um Tracking, Analysen und verschiedene Funktionen zu ermöglichen. Gleichzeitig gebe es aber auch immer mehr Verordnungen, Gesetze und Anforderungen an den Datenschutz, die erfüllt werden müssten. Immer wieder verschickten findige Rechtsanwälte Abmahnungen wegen nicht korrekter Einstellungen. „Ob berechtigt oder nicht: Für Website-Betreiber ist es allemal unnötig und nervig, sich damit auseinanderzusetzen – und häufig auch teuer.“

Foto: PSW GROUP

Patrycja Schrenk: DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich!

Tools helfen Betreibern selbst zu testen, ob die eigene Website auch wirklich datenschutzkonform ist

Patrycja Schrenk, Geschäftsführerin der PSW GROUP, gibt zu bedenken: „Die DSGVO-Konformität einer Website einfach so nebenbei zu prüfen, ist kaum möglich. Der größte Aufwand liegt in der Identifizierung von Webseiten-Erweiterungen und Cookies.“ Auch die Information der Betroffenen sei ein weiterer Punkt, „der Hürden bereithält“. Denn zum Einen müsse der Grundsatz der Transparenz gewährleistet sein und eine einfache Sprache verwendet werden, zum Anderen müssten die rechtlichen Vorgaben erfüllt werden. Gerade letzteres führe dazu, dass Datenschutzerklärungen zu langen Rechtstexten mutierten und es für Laien schwierig werde, zu verstehen, worum es eigentlich geht.

Immerhin: Dank einiger Tools könne jeder Website-Betreiber selbst testen, ob die eigene Website auch wirklich datenschutzkonform ist: „Tatsächlich gibt es eine Unmenge an brauchbaren Tools zur Analyse. Mit ,Qualys’, den Entwicklertools im Browser und ,Cookiedatabase’ können wir jedoch drei Tools wirklich jedem ans Herz legen, da diese sich in unserem Alltag als Datenschützer bewährt haben.“

Qualys SSL-Labs misst Sicherheit einer SSL-verschlüsselten Website

„Qualys SSL-Labs“ misst demnach die Sicherheit einer SSL-verschlüsselten Website: Verschiedene Parameter – beispielsweise der Einsatz von „Perfect Forward Secrecy“ (PFS) – werden zur Bewertung herangezogen. „Konkret untersucht der kostenlose Online-Test die SSL-Zertifikatskette von Webseiten. Das Sicherheitsprotokoll SSL dient der Verschlüsselung sensibler Daten während einer Online-Übermittlung. Des Weiteren werden auch die Übertagungsprotokolle geprüft – je aktueller, je besser“, erläutert Schrenk. Für den Test werde einfach die Domain eingegeben, den Rest erledige das Tool. Ratings zwischen „A“ bis „F“ bewerteten die Website dann von „ausgezeichnet“ bis „extrem unsicher“.

Mit den sogenannten „Entwicklertools“ stehe gleich eine ganze Kollektion hilfreicher Werkzeuge bereit, die jeder Webbrowser kostenlos mitgeliefert bekomme. Sie erlaubten es, die gerade angezeigte Webseite zu analysieren und hinter die Kulissen zu schauen. „Hier erfahren Website-Betreibende zum Beispiel welche Cookies eingebunden und welche Dienste, zum Beispiel ,Google Fonts’ oder ,Google Analytics’, geladen werden, wie groß diese sind, welche Web Services im Hintergrund laufen und wo potenzielle Problemstellen und Risiken verborgen liegen.“

Entwicklertools zeigen an, welche Cookies auf der jeweiligen Website gesetzt sind

„Zu den Entwicklertools gelangt man über einen Rechtsklick an jeder beliebigen Stelle einer Website und anschließend mit einem Klick auf durchsuchen oder F12 auf der Tastatur. Die Entwicklertools zeigen nun unter anderem an, welche Cookies auf der jeweiligen Website gesetzt sind und ob sie aus einer externen Quelle stammen oder direkt von der Website eingebunden werden.“ Cookies aus externer Quelle seien in den meisten Fällen ein Problem und sollten nach Möglichkeit unterbunden werden, rät Schrenk. Dem gegenüber seien technisch notwendige Cookies all jene, „die keine Analyse- oder Marketing-Zwecke verfolgen, sondern notwendig für eine Funktion der Website sind“. Ein Cookie zum Speichern des Warenkorbes sei beispielsweise „technisch notwendig“, genauso wie auch das Cookie zum Speichern der Cookie-Banner-Einstellungen.

Natürlich sei es nicht allein damit getan, zu wissen, welche Cookies geladen werden. Doch es könne durchaus schwierig sein, die Art oder den Zweck eines Cookies zu ermitteln – „vor allem, wenn dessen Bezeichnung keinen Anhaltspunkt bietet und die angezeigte Domain mit der eigenen Website identisch ist“. Schrenk führt aus: „Aber auch dafür gibt es eine Lösung. Denn mit ,cookiedatabase.org’ gibt es eine sehr praktische Cookie-Datenbank, mit der sich die gängigsten Cookies identifizieren lassen.“ Die Suchfunktion des Dienstes liefere reichlich Informationen über Cookies, „unter anderem von welchem Dienst das Cookie stammt, zu welchem Zweck das Cookie verwendet wird, wie lange das Cookie gespeichert wird und welche Funktion das Cookie hat“.

Datenschutzerklärung für die Website zwingend erforderlich!

„Ein wichtiger Baustein einer jeden datenschutzkonformen Website ist die Datenschutzerklärung selbst.“ Diese müsse Besucher einer Website über jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufklären – etwa über die Verarbeitung der IP-Adresse, von Browser-Daten, Cookies, Webanalyse-Tools wie „Google Analytics“ sowie Social-Media-Plugins. „Die Datenschutzerklärung muss nicht nur darüber informieren, welche Daten erhoben werden, sondern auch was mit ihnen passiert, warum diese Daten erhoben werden und ob Daten an Dritte weitergegeben werden“, informiert Schrenk und betont: „Die Datenschutzerklärung muss eindeutig als solche gekennzeichnet sein. Daher ist es nicht ausreichend, sie innerhalb des Impressums unterzubringen. Datenschutzerklärung und Impressum sind klar voneinander zu trennen.“

Diese Angaben sind laut Schrenk zwingend erforderlich:

• Name und Kontaktdaten des/der Verantwortlichen
• Zweck und Rechtsgrundlage der Datenverarbeitungen: „Was wird auf der Website gemacht, welche Tools werden dazu eingesetzt und welche Legitimation hab der Betreibende dafür? Falls die Rechtsgrundlage Artikel 6, Absatz 1 der DSGVO ist, muss das berechtigte Interessen des oder der Verantwortlichen oder Dritter beschrieben werden.“
• Aufklärung über Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragung)
• Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
• Speicherdauer der Daten
• Sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 30.04.2023
How to… check your website? Kostenlose Tools zum Website-Check / Worauf sollte man achten?

[datensicherheit.de, 11.12.2020] Anlässlich der Vorstellung der Studie „State of Encryption 2020“ interviewte Carsten J. Pinnow, Chefredakteur von datensicherheit.de (ds) den Zscaler-Verantwortlichen Deepen Desai, CISO und VP Security Research. Der Report basiert auf einer Untersuchung der Daten aus der eigenen Cloud. Bei der Verarbeitung von mehr als 130 Milliarden Datentransaktionen pro Tag führt der US-amerikanische Hersteller SSL-Inspektionen in großem Maßstab durch und kann daher Rückschlüsse darauf ziehen, ob Cyberkriminelle den verschlüsselten Datentransfer als Einfallstor nutzen. Der Bericht basiert auf einer Analyse von über 6,6 Milliarden in der eigenen Cloud erkannten Angriffen, die von Januar bis September 2020 über verschlüsselte Kanäle verbreitet wurden.

ds: Können Sie uns die wichtigsten Ergebnisse ihres Reports noch einmal zusammenfassen?

Bild: Zscaler

Deepen Desai, CISO und VP Security Research bei Zscaler

Deepen Desai: Unser Report deckt unter anderem auf, welche neuen Techniken zum Unterlaufen herkömmlicher Sicherheitskontrollen eingesetzt wurden. Insgesamt konnten wir einen Anstieg von 260 Prozent bei verschlüsselten Angriffen feststellen. Besonders interessiert hat uns, inwieweit die Anzahl der Attacken von Branche zu Branche variierten. Bereits vor Corona war vor allem das Gesundheitswesen stark betroffen. Nicht zuletzt durch die Corona-Krise ist sie mit 1,6 Milliarden Angriffen die am meisten betroffene Branche. Fast ein Viertel aller Aktivitäten richteten sich gegen Krankenhäuser, Gesundheitsämter und andere. Wenig überraschend folgt danach der Sektor Finanzen und Versicherungen, hier wurden 1,2 Milliarden Angriffe durchgeführt, was 18,3 Prozent aller Attacken ausmacht. Immer spannender scheint für die Kriminellen die Fertigungsbranche zu sein, denn auch hier knackten die cyberkriminellen Aktivitäten die Grenze von 1,1 Milliarden. Auf die öffentliche Verwaltung konnten nicht zuletzt aufgrund der vielen Ransomware-Angriffe auf US-Einrichtungen, aber auch weltweit, über 950 Millionen Attacken festgestellt werden.

ds: Was muss sich der Leser unter verschlüsselten Angriffen vorstellen, ist das nur Ransomware?

Deepen Desai: Es ist vor allem Ransomware ja. Unser ThreatLabZ-Team beobachtete ab März, als die WHO den Virus zur Pandemie deklarierte, einen fünffachen Anstieg von Ransomware-Angriffen über verschlüsselten Datenverkehr. Weitere Untersuchungen zeigten einen Anstieg von Malware im Zusammenhang mit COVID-19 von 30.000 Prozent. Das liegt vor allem daran, dass Kriminelle die Angst und den Informationsbedarf für ihre Angriffe ausnutzen wollten und auch taten.

Darüber hinaus ist das Phishing zu beachten. Eine der am häufigsten via SSL-Verschlüsselung verbreiteten Angriffsarten war Phishing. In den ersten neun Monaten des Jahres 2020 gab es mehr als 193 Millionen Fälle. Die Fertigungsindustrie war das Hauptziel (38,6 Prozent), gefolgt von der Dienstleistungsbranche (13,8 Prozent) und dem Gesundheitswesen (10,9 Prozent).

ds: Sie hatten in Ihrem Report außerdem berichtet, dass die meisten Attacken über vertrauenswürdige Cloud-Anbieter verbreitet würden, können Sie das genauer erklären?

Deepen Desai: Die Angreifer nutzen das Image vertrauenswürdiger Cloud-Anbieter wie Dropbox, Google, Microsoft und Amazon aus, um Malware über verschlüsselte Kanäle zu verbreiten. Ganz vorne mit dabei waren Microsoft, Google, Amazon und Dropbox. Nicht überraschend werden auch diese Marken vornehmlich für Phishing genutzt beispielsweise Microsoft (36%), PayPal (15%), Google (10%) und OneDrive (10%). Cyberkriminelle fälschten während der Pandemie auch zunehmend Netflix und andere Streaming-Unterhaltungsdienste.

ds: Welche Maßnahmen zum Schutz würden Sie empfehlen?

Deepen Desai: Die Überprüfung des verschlüsselten Datenverkehrs ist für alle Organisationen zum Schutz vor Angriffen wichtig. Eine mehrschichtige Verteidigungsstrategie, die auf vollständige SSL-Inspektion setzt, stellt den Schutz vor im Verborgenen operierenden Bedrohungen sicher. Wir haben im Folgenden eine Reihe von Tipps herausgegeben, die Unternehmen bei der Suche nach in verschlüsseltem Datenverkehr versteckten Bedrohungen unterstützen können:

• Entschlüsseln, erkennen und verhindern Sie Bedrohungen im gesamten SSL-Datenverkehr mit einer Cloud-nativen, proxy-basierten Architektur, die den gesamten Datenverkehr für jeden Benutzer untersuchen kann.
• Stellen Sie unbekannte Angriffe in Quarantäne und stoppen Sie Patient-Zero Malware mit einer KI-gesteuerten Quarantäne, die verdächtige Inhalte zur Analyse zurückhält, im Gegensatz zu Firewall-basierten Passthrough-Ansätzen.
• Bieten Sie konsistente Sicherheit für alle Benutzer und alle Standorte, um sicherzustellen, dass jeder jederzeit dieselbe Sicherheit hat, egal ob er zu Hause ist, in der Zentrale sitzt oder unterwegs ist.
• Reduzieren Sie sofort die Angriffsfläche, indem Sie von einer Position des Zero Trusts ausgehen, in der es keine lateralen Bewegungen geben kann. Apps sind für Angreifer unsichtbar, und autorisierte Benutzer greifen direkt auf benötigte Ressourcen zu, nicht auf das gesamte Netzwerk.

ds: Herr Desai wir bedanken uns für die Erläuterungen und das Gespräch.

Deepen Desai: Sehr gerne.

Weitere Informationen zum Thema:

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

[datensicherheit.de, 17.11.2016] Webshops haben vielfach längst in den „Weihnachtsmodus“ umgeschaltet – Ideen für SEO, Content-Marketing etc. wurden umgesetzt, ein eigenes Thema für die Weihnachtszeit gewählt, die Produkte für Weihnachtsaktionen ausgewählt, eventuell sogar Adventskalender mit täglich wechselnden Gewinnen integriert, und auch die technische Infrastruktur möglichst „festtagssicher“ aufgesetzt, um für den zu erwartenden Besucheransturm gewappnet zu sein. Online-Händler müssten sich jedoch bewusst machen, dass ihr Webshop für Verbraucher, insbesondere für Neukunden, erst einmal ein anonymer Dienst sei. Niemand kaufe in einem Webshop, bei dem er nicht weiß, wo seine Daten landen und was mit ihnen passiert. „Vertrauen in die Sicherheit beim Datentransfer hat neben guter Performance höchsten Stellenwert für Verbraucher“, betont Christian Heutger, Geschäftsführer der PSW GROUP.

Online-Händler in der Pflicht

„Insbesondere in einer Welt, in der die Konkurrenz nur einen Klick entfernt ist und die gesetzlichen Anforderungen an Datenschutz steigen, kommen Online-Händler deshalb nicht um SSL-Verschlüsselung ihres Shops herum“, so Heutger.
Das Protokoll SSL bzw. TLS verschlüsselt die Netzverbindung zwischen Server und Client (Browser). Neben der vertraulichen Datenübertragung wird außerdem auch die Identität des Servers geprüft. Mit der Feststellung der Authentizität des Servers sichert Verschlüsselung somit die Identität einer Website. Der Einsatz von Verschlüsselung stellt darüber hinaus sicher, dass Daten durch unbefugte Dritte weder verändert noch gelesen oder gar manipuliert werden können. Ob eine Website verschlüsselt ist, erkennen Webshop-Kunden ganz leicht am „https“ in der Adresszeile. Das „s“ hinter „http“ steht dabei für „secure“, also für eine sichere Verbindung.
Heutger: „Spätestens, wenn Besucher persönliche Daten wie E-Mail-Adresse, Name, Kreditkarten- oder andere Zahlungsinformationen eingeben, sollten deshalb SSL/TLS-Zertifikate Pflicht sein. Denn ab diesem Moment tragen Online-Händler für die Sicherheit der Kundendaten Sorge.“

Verschlüsselung als wichtiger Rankingfaktor

Ein TLS-/SSL-Zertifikat bestätige aber nicht nur die Identität des Online-Händlers. Auch der Gesetzgeber mache es immer schwieriger, ohne SSL/TLS-Verschlüsselung rechtssicher zu agieren. Behörden wie z.B. das Bayerische Landesamt für Datenschutzaufsicht prüften dies intensiv.
„Obendrein ist Verschlüsselung ein wichtiger Rankingfaktor bei Google. Und auch wenn es andere Suchmaschinen gibt, so kommt für ein effizientes Webmarketing keiner an dem Internetriesen vorbei. Die Ranking-Faktoren der weltweit erfolgreichsten Suchmaschine geben nun einmal den Ton an bei der Suchmaschinenoptimierung“, so der Geschäftsführer der PSW GROUP.

Für gewerbliche Websites mindestens ein organisationsvalidiertes Zertifikat

Nun sei der Markt groß und unübersichtlich:

• Es gebe sowohl kostenlose als auch teure SSL/TLS-Zertifikate,
• welche, die eine grün gefärbte Adressleiste generierten,
• welche von namhaften Anbietern
• und jene von unbekannten Anbietern.

Diese Unterschiede erklärten sich unter anderem mit der Validierung, also wie umfassend der Besteller eines TLS-Zertifikats von der Zertifizierungsstelle geprüft wird.
Auch die Kosten hingen stark vom gewählten SSL/TLS-Zertifikat ab. Bei der Wahl des geeigneten Zertifikats komme es wiederum auf den Einsatzzweck an: Während für ein privates Blog ein domainvalidiertes Zertifikat (DV) ausreichend sein könne, sei für gewerbliche Websites mindestens ein organisationsvalidiertes (OV), idealerweise jedoch ein „Extended Validation“-Zertifikat die bessere Wahl. „Sehr reizvoll ist in diesem Zusammenhang die grüne Adressleiste, die dem Websitebesucher schon auf den ersten Blick vermittelt, dass der Seitenbetreiber den Datenschutz ernst nimmt. Allerdings schaffen ausschließlich Extended-Validation-Zertifikate diese grüne Adressleiste“, erläutert Heutger. Um ein solches EV-Zertifikat zu erhalten, müsse das Unternehmen im Handelsregister und auf „upik.de“ eingetragen sein.

© PSW Group

Christian Heutger: Neben Performance kommt es auch auf die Datensicherheit an!

Weitere Informationen zum Thema:

datensicherheit.de, 18.08.2016
HEIST: Angriff auf Verschlüsselungsprotokoll TLS ohne Man-in-the-Middle-Attacke

[datensicherheit.de, 15.08.2014] Webmaster und SEO-Agenturen müssen wohl künftig umdenken. Denn der Suchmaschinenriese Google gab bekannt, dass HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichtet werden. Zunächst soll HTTPS nur ein Faktor unter vielen in Googles Suchalgorithmus darstellen. Längerfristig will die Suchmaschine sicherheitsbewusste Seitenbetreiber, die ihr Onlineangebot mit HTTPS absichern, belohnen und dem SSL-Zertifikat mehr Bedeutung beimessen. „Webseitenbetreiber, die ein SSL-Zertifikat implementieren, tragen künftig zwei relevanten Punkten Rechnung: Sie gestalten die Kommunikation sicherer und optimieren ihr Ranking. Dies gilt nicht nur für Shops, die mit sensiblen Kundendaten umgehen, sondern bereits für kleinere Webseiten oder Blogs“, so Christian Heutger, Geschäftsführer der PSW GROUP.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP

Heutger weiß, dass Vertrauenswürdigkeit eines der wichtigsten Kriterien im elektronischen Handel ist. Dabei ist nicht nur wichtig, Kundendaten vor unerlaubtem Abhören zu schützen, sondern auch, dass der Anbieter durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde. Sichtbares Zeichen der Vertrauenswürdigkeit ist ein SSL-Zertifikat. Eine SSL-geschützte Verbindung ist an einem Schloss-Symbol in der Adressleiste des Browsers sowie der grünen-Adressleiste erkennbar. Dem Besucher einer Webseite werden nach Klick auf das Schloss-Symbol die wichtigsten Daten über den Inhaber sowie Aussteller des Zertifikats angezeigt.

„SSL Zertifikate einzurichten ist einfach. Es gibt drei Zertifikatsarten, jeweils für verschiedene Anforderungen. Wir bieten alle drei Typen verschiedener Zertifizierungsstellen an und beraten, welches das individuell passende Zertifikat ist“, so Heutger. Wer beispielsweise nur eine Domain schützen möchte, für den sind Einzelzertifikate geeignet. Wildcardzertifikate schützen sämtliche einstufige Subdomains einer Domain. Wer mehrere Domains verwaltet, für den sind Multidomainzertifikate die richtige Wahl.

Diese drei Zertifikatsarten gibt es für verschiedene Validierungstypen: Domainvalidierte Zertifikate stellen eine Art Einsteiger-SSL-Zertifikat dar und sind geeignet für kleine und mittlere Webseiten und Shops. Bei der Ausstellung, die binnen 10 Minuten erfolgt, wird lediglich überprüft, ob der Antragsteller eine E-Mail an eine bestimmte Adresse innerhalb der geprüften Domain erhalten kann. Organisationsvalidierte Zertifikate gehen weiter und sind deshalb geeignet für mittlere bis große Seiten und Shops. Bei der Ausstellung wird geprüft, ob der Antragssteller auch die genannte Organisation ist. Dokumente und ein Telefonanruf werden zur Identitätsprüfung verwendet. Daneben existieren noch Extended Validation-Zertifikate, die eine ausführliche Organisationsprüfung voraussetzen und für Webseiten von Banken oder ähnliche Internetauftritte geeignet sind.

Weitere Informationen zum Thema:

datensicherheit.de, 09.06.2014
Security Advisory: Neue Sicherheitslücken in OpenSSL identifiziert

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

PSW GROUP
Startseite

Von unserem Gastautor Paul van Brouwershaven, Director Business Development bei GlobalSign

[datensicherheit.de, 08.04.2014] “The new Snowden revelations are explosive. Basically, the NSA is able to decrypt most of the Internet.” („Die Snowden-Enthüllungen sind explosiv. Im Grunde ist die NSA in der Lage ein Gr0ßteil des Internets zu entschlüsseln.“), “They’re doing it primarily by cheating, not by mathematics” („Sie tun dies vor allem durch schummeln und nicht mit Hilfe der Mathematik“)
Diese erst vor einigen Wochen von Bruce Schneier (us-amerikanischer Kryptologe) ausgesprochenen Zitate und der Eindruck monatelanger Enthüllungen in der NSA-Spähaffäre legen nahe, sich neu mit SSL zu beschäftigen. Immerhin eine Technologie, die bereits 20 Jahre auf dem Buckel und einige nicht ganz unbekannte Sicherheitsrisiken im Gepäck hat.

Was genau ist SSL?

Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die beiden heutzutage meistgenutzten Sicherheitsprotokolle. Im Wesentlichen stellt das Protokoll einen sicheren Kanal zwischen zwei Computern bereit, die über das Internet oder ein internes Netzwerk miteinander kommunizieren. Typischerweise wird das SSL-Protokoll eingesetzt, wenn ein Webbrowser sich sicher mit einem Webserver über das inhärent unsichere Internet verbinden will.
Technisch betrachtet ist SSL ein transparentes Protokoll. Um eine sichere Sitzung aufzubauen, benötigt es nur wenig direkte Interaktion mit dem Endnutzer. Denkt man beispielsweise an einem Browser, weist ein Icon in Form eines Sicherheitsschlosses darauf hin, dass SSL eingesetzt wird, oder im Falle von Extended Validation SSL werden sowohl die Adresszeile als auch ein Sicherheitsschloss innerhalb einer grünen Zeile angezeigt.

Ein solches EV SSL-Zertifikat ist durch visuelle Indikatoren leicht erkennbar und einfach zu interpretieren:

© Globalsign

Standard SSL-Zertifikate zeigen:

© Globalsign

Im Gegensatz zu HTTP-URL-ADRESSEN, die mit „http://“ beginnen und standardmäßig Port 80 verwenden, beginnen HTTPS-URL-ADRESSEN mit „https://“ und verwenden standardmäßig Port 443.
HTTP ist unsicher und kann leicht belauscht werden, wenn sensible Daten wie Kreditkarteninformationen, Anmeldedaten zu Online-Konten oder andere vertrau-liche Informationen übermittelt werden. Um die Daten zu schützen, die mit HTTPs über den Browser gepostet oder gesendet werden, werden diese Informationen deshalb verschlüsselt.

Allen Anwendungen dieser Art ist eines gemeinsam: Daten, die über das Internet oder in einem Netzwerk versendet werden, sollen und müssen vertraulich bleiben. Kreditkartennummern, Kontoanmeldedaten, Passwörter und persönliche Daten dürfen nicht im Internet offengelegt werden. Konkret bedeutet das beispielsweise, dass sobald die Kreditkartendetails und der Betrag, mit dem die Kreditkarte belastet werden soll, gesendet werden, ein Cyberkrimineller nicht mit einer Man-in-the-Middle-Attacke in der Lage ist, den Betrag oder den Adressaten der Zahlung zu ändern. Unternehmen und Institutionen müssen wiederum ihren Kunden und den Nutzern des Extranets versichern, dass Sie tatsächlich derjenige sind, für den Sie sich ausgeben. Das ist ein essentieller Bestandteil des regionalen, nationalen und internationalen Datenschutzes.

In der Praxis sollte ein SSL-Zertifikat in allen nachfolgenden Fälle verwendet werden:

• Bei Online-Kreditkartentransaktionen
• Bei Online-Systemanmeldungen, wenn sensible Informationen über Webformulare übertragen werden oder um geschützte Bereiche von Websites zu sichern
• Um Webmail, Outlook Web Access, Exchange und Office Communications Server zu sichern
• Um Tools für die Abwicklung von Geschäftsprozessen und virtualisierte Anwendungen wie Citrix Delivery- oder Cloud-basierte Rechnerplattformen zu sichern
• Um die Verbindung zwischen einem E-Mail-Client wie Microsoft Outlook und einem E-Mail-Server wie Microsoft Exchange zu schützen
• Um die Übertragung von Dateien über https- und FTP(s)-Dienste zu sichern, wenn zum Beispiel Inhaber einer Website neue Seiten hinzufügen oder große Dateien transferieren
• Um Anmeldungen an Hosting Control Panels und Aktivitäten wie Parallels, cPanel und andere zu sichern
• Bei jeglichem Intranet-basierten Datenverkehr (interne Netzwerke, Filesharing, Extranets und Datenbankverbindungen)
• Um Netzwerkanmeldungen und Netzwerkverkehr mit SSL VPNs wie VPN Access Server oder Anwendungen wie Citrix Access Gateway zu sichern

Aber Achtung: Die in digitalen Zertifikaten verwendeten Algorithmen werden weltweit kryptoanalytisch eingeordnet, und inzwischen als deutlich schwächer bewertet als das noch vor wenigen Jahren der Fall war, allerdings immer noch als ausgesprochen solide. Moderne Algorithmen zu entwickeln ist die eine Seite der Medaille. Die andere, dass alle Beteiligten schneller als in der Vergangenheit die zur Verfügung stehenden Algorithmen auch tatsächlich einsetzen.

Das Problem endet nicht bei den Zertifikaten

Es ist wichtig zu verstehen, dass das Problem leider nicht bei der in den Zertifikaten verwendeten Kryptografie endet. Die in den Zertifikaten verwendeten Cipher Suites sind ein zusätzlicher Angriffsvektor. Laut einer Datenerhebung des Trustworthy Internet Movement verwenden nahezu 33% der Top 200.000 Sites schwache Cipher Suites.
Perfect Forward Secrecy (PFS) ist eine spezielle Eigenschaft von Verschlüsselungs-verfahren, die als besonders sicher gilt, aber noch wenig verwendet wird. Das gilt für Cipher Suites ebenso wie für die Top 200.000 Sites. Bei PFS ist der Schlüsseltausch zwischen Server und Browser so gestaltet, dass der Schlüssel vor einer späteren Entschlüsselung geschützt ist. Der geheime Sitzungsschlüssel wird nicht zwischen den Sitzungspartnern übertragen. Das funktioniert aber nur, wenn Browser und Server PFS einsetzen. Gerade bei der Konfiguration von letzteren hapert es.
Auch OCSP (Online Certificate Status Protocol)  Stapling, das Performance-Vorteile für sichere Seiten bringt, und HTTP Strict Transport Security (HSTS) werden vergleichsweise wenig verwendet. Und: immer noch setzen zahlreiche Websites veraltete SSL-Versionen ein. Man sollte also durchaus Websites mit einem entsprechenden Tool  (wie beispielsweise kostenlos unter https://sslcheck.globalsign.com/de) überprüfen.

Und dann ist da noch die Schlüsselverwaltung

Was bleibt, ist das Problem der Schlüsselverwaltung. Durch die aktuellen Leaks wissen wir nun definitiv, dass Nachrichtendienste Datenbanken mit kompromittierten Schlüsseln pflegen. An sich ist das keine große Überraschung, Sicherheitsexperten tun ähnliches. Aus Sicht eines potenziellen Angreifers ist die aktuelle Praxis der Schlüsselverwaltung äußerst hilfreich. Einer der Hauptschwachpunkte: Websites nutzen die gleichen Schlüssel viel zu lange und immer wieder. Das macht ihn für einen potentiellen Lauscher umso wertvoller.
Man sollte sich an dieser Stelle auf eine CA verlassen, die explizit unbegrenzte Neuausstellungen erlaubt, und nicht zulässt, dass der gleiche Schlüssel mehrfach verwendet wird. Wer vor dem Verwaltungsaufwand zurück scheut, kann in der Regel auf APIs und Plug-ins zurückgreifen, die solche Änderungen automatisiert vornehmen.

Welche Verschlüsselungsstärke? (Schlüsselanforderung: 2048 Bit für 2014)

In Einklang mit der Leitlinie des National Institute of Standards and Technology (NIST) hat man Zertifizierungsstellen (CAs) geraten, den zunächst in der NIST Special Publication 800-57 und später den in 800-131A veröffentlichen Empfehlungen zu folgen.
Darin wurden CAs angewiesen, die Signierung von digitalen Zertifikaten mit öffentlichen 1024-Bit-RSA-Schlüsseln nach dem 31. Dezember 2010 ausdrücklich zu missbilligen und die Signierung zum 31. Dezember 2013 vollständig einzustellen (Tabelle 2, Abschnitt 3 der 800-131A).

Es bestand allerdings ein allgemeiner Konsens darüber diese besonders langlebigen Zertifikate gesondert zu behandeln. Einzelne CAs haben bereits deutlich vor dem Ablauf der Frist eine stärkere als die von der NIST-Leitlinie empfohlene Schlüssellänge verpflichtend eingeführt. So akzeptiert auch GlobalSign bereits seit dem 1. Januar 2011 keine Signaturanforderung für ein Zertifikat (CSR) mit einer Schlüssellänge von 1024 Bit.

Erst 2012 wurden die NIST-Empfehlungen vom CA/Browser-Forum übernommen. Danach wurden Zertifizierungsstellen von Browser-Root-Programmen wie zum Beispiel der Mozilla CA Certificate Policy angewiesen, die Signatur von Zertifikaten mit 1024 Bit RSA-Schlüsseln bis zum Stichtag komplett einzustellen.

Die Migration zu längeren Schlüsseln schützt korrekt ausgebrachte SSL-Lösungen auch vor ausgereiften Attacken. Denn: In den kommenden Jahren, nehmen die Chancen für die Faktorisierung von 1024 RSA-Primzahlen zu und damit das Potenzial für erfolgreiche MITM-Attacken auf langlebige Zertifikate, die noch für Live-Transaktionen eingesetzt werden.

Was man tun sollte

• Achten Sie beim Kauf von Zertifikaten darauf, was ein Anbieter verspricht und welche tatsächlichen Verpflichtungen er Ihnen gegenüber hat
• Pflegen Sie eine Sicherheitsrichtlinie, die folgende Fragen beantwortet:
• Welche kryptografischen Algorithmen können verwendet werden?
• Wie oft müssen die Schlüssel geändert werden?
• Wie stark muss zwingend verschlüsselt werden?
• Wie werden die Schlüssel generiert und wie werden sie gesichert?
• Erstellen Sie eine Bestandsliste aller kryptografischen Schlüssel, mit Altersangabe und Stärke der Verschlüsselung
• Stellen Sie sicher, dass jeder Schlüssel richtlinienkonform verwaltet wird
• Achten Sie neben einem Zertifikat mit ausreichend großem Schlüssel darauf die aktuellste Version von Webserver und SSL/TLS-Bibliotheken zu verwenden
• Verwenden Sie nach Möglichkeit Chiffren mit PFS
• Betreiben Sie ausnahmslos alle SSL-Konfigurationen nach diesem Schema
• Sorgen Sie zusätzlich dafür, dass alle Rechner, die Zugang zum Schlüsselmaterial haben entsprechend gepatched und gehärtet sind sowie über strukturierte Zugriffsrechte verfügen
• Wenn Sie zwischenzeitlich unsicher sind, welche Verschlüsselungsstärke Ihr vorhandenes Zertifikat hat, überprüfen Sie es mit einem SSL Configuration Checker

© GlobalSign

Paul van Brouwershaven ist Director Business Development bei GlobalSign

Weitere Informationen zum Thema:

GlobalSign®
SSL-Informationszentrum

[datensicherheit.de, 07.03.2014] Das Fraunhofer-Institut für Sichere Informationstechnologie hat einen Schwachstellen-Scanner für Android veröffentlicht, mit dem App-Entwickler SSL-Sicherheitslücken automatisch finden und schließen können. Die Software ist im Internet kostenlos unter herunterladbar und ist ein Ergebnis aus dem vom Bundesministerium für Bildung und Forschung geförderten European Center for Security and Privacy by Design (EC SPRIDE) in Darmstadt. Dort entstanden neue Testwerkzeuge für Android- und Java-Code, die sich direkt in die Entwicklungsumgebung integrieren lassen und neue Analyseverfahren nutzen. Diese ermöglichen es,  auch schwer zu findende Fehler im Programm-Code äußerst schnell ausfindig zu machen. Werkzeuge und Verfahren stellt das Fraunhofer-Institut vom 10. bis zum 14. März auf der CeBIT in Hannover vor (Halle 9, Stand E40).

Viele Sicherheitslücken entstehen durch einfache Programmierfehler, die sich aufgrund der Komplexität heutiger Software-Produkte kaum vermeiden lassen. Oft besteht eine Software aus vielen Programm-Teilen, die von ganz unterschiedlichen Programmierern geschrieben wurden. Das Zusammenspiel der verschiedenen Teile ist für Menschen schon längst nur noch schwer nachvollziehbar. Deshalb nutzen Software-Unternehmen heute Testwerkzeuge, mit denen sich Programmcode automatisch prüfen lässt. Herkömmliche Schwachstellen-Scanner, die man auf dem eigenen Rechner betreiben kann, finden jedoch nur einfache Fehler. Um komplexere Sicherheitslücken im Programm-Code aufzuspüren, mussten Software-Unternehmen bislang den eigenen Code zum Beispiel von teuren Testdiensten aus Übersee analysieren lassen. Die Ergebnisse erhalten die Unternehmen jedoch erst zeitverzögert, wenn die Entwickler vielleicht schon mit ganz anderen Dingen beschäftigt sind.

Prof. Dr. Eric Bodden vom Fraunhofer SIT  und sein Team am Cybersicherheitszentrum EC SPRIDE haben deshalb effiziente Analyse-Verfahren entwickelt und in Testwerkzeuge integriert. Diese neuen  Schwachstellen-Scanner lassen sich auf einfachen Computern betreiben, aber sie sind mächtiger als die teuren Analysedienste und finden mehr komplexe Fehler in kürzerer Zeit. Die CodeScan-Werkzeuge der Darmstädter Forscher liefern die Ergebnisse zum Teil schon in Millisekunden. Möglich machen das neue Analyse-Verfahren, die auch komplexe Wechselwirkungen im Code schnell prüfen können. „Sichere Software-Entwicklung ist wie ein Labyrinth“, sagt Bodden, „es ist ganz leicht falsch abzubiegen, aber sehr schwer, den richtigen Weg zu finden. Deshalb nutzen die Unternehmen Testwerkzeuge, um möglichst schnell zum Ziel zu kommen. Mit herkömmlichen Testwerkzeugen können Entwickler aber gerade mal um die nächste Ecke schauen. Mit unseren Tools blicken sie zehn Ecken voraus.“  Die Analyseverfahren lassen sich auf unterschiedliche Programmiersprachen anwenden und auch für bestimmte Aufgaben optimieren.

Das aktuelle Analysewerkzeug unterstützt beispielsweise hochkomplexe Datenflussanalysen. Ein einfacheres, aber in der Praxis sehr relevantes Beispiel ist der jetzt veröffentlichte Scanner für SSL-Schwachstellen. Dabei handelt es sich um ein Eclipse-Plug-In, das Programmierer problemlos in typische Entwicklungsumgebungen integrieren können. Das Testwerkzeug hilft App-Entwicklern dabei, fehlerhafte Verwendungen des Secure Socket Layer-Protokolls (SSL) in Android Code zu finden und kann als Open-Source-Software kostenlos genutzt werden. Wie groß das SSL-Problem für Apps ist, zeigte sich im vergangenen Jahr, als das Fraunhofer SIT entsprechende Fehler in zahlreichen Apps entdeckte, die für die Nutzer zum Teil mit großen Risiken verbunden waren.

Weitere Informationen zum Thema:

datensicherheit.de. 05.03.2014
Forscher testen 10.000 Android-Apps auf mögliche Sicherheitsmängel

datensicherheit.de, 23.04.2013
SRT Appguard: Erfolgreiche Anti-Spionage-App

[datensicherheit.de, 09.12.2013] Viele beliebte Apps der Android-Plattform haben einen schwerwiegenden Sicherheitsfehler, darunter auch Apps von Banken, Verlagen und anderen großen Organisationen. Das stellten Mitarbeiter des Testlabors am Fraunhofer-Institut für Sichere Informationstechnologie in Darmstadt fest. Angreifer können mithilfe der gefundenen SSL-Schwachstelle Zugangsdaten stehlen und damit zum Teil großen Schaden anrichten. Das Fraunhofer-Institut hat über 30 betroffene Unternehmen informiert, davon haben bislang 16 reagiert und die Sicherheitslücke geschlossen. Hierzu gehören unter anderem Apps von Amazon, Spiegel Online, Lidl oder der Volkswagen Bank. Eine Liste der Apps, für die Sicherheitsupdates zur Verfügung stehen, findet sich im Internet unter www.sit.fraunhofer.de/app-security-list.

© Fraunhofer SIT

Augen auf bei der Nutzung von Apps

Das entstandene Sicherheitsrisiko für die Nutzer ist abhängig vom jeweiligen Anwendungszweck: Bei mancher App droht lediglich die Manipulation der eigenen Foto-Bestände, im Falle einer Banking-App lassen sich hingegen die Zugangsdaten unter Umständen auch für unberechtigte Überweisungen oder andere Manipulationen des Bankkontos nutzen. Besonders gravierend kann das Risiko bei Apps sein, die Single-Sign-On z.B. zu den Google- oder Microsoft-Diensten nutzen, denn dort werden die Zugangsinformationen für eine Vielzahl von Diensten wie E-Mail, Cloud-Speicher oder Instant Messaging genutzt.

Bei der gefundenen Schwachstelle handelt es sich um eine fehlerhafte Verwendung des Secure Socket Layer-Protokolls (SSL). Das SSL-Protokoll dient zur Absicherung von Internet-Verbindungen, setzt aber die korrekte Prüfung der verwendeten Echtheitszertifikate der angesprochenen Server voraus. Diese Prüfung ist bei den betroffenen Apps jedoch falsch umgesetzt. „Dies ist technisch gesehen ein kleiner Fehler, aber er hat große Auswirkungen für die Sicherheit“, sagt Dr. Jens Heider vom Fraunhofer SIT. Um an die Zugangsdaten zu gelangen, müssen Angreifer zum Beispiel nur die Kommunikation beim Surfen über WLAN manipulieren. Dies ist überall besonders leicht, wo die WLAN-Kommunikation unverschlüsselt ist, etwa an vielen öffentlichen Zugangspunkten wie in Flughäfen, Hotels und Restaurants. Gerade in diesen Situationen soll die SSL-Verschlüsselung die Kommunikation schützen.

„Die Lücke ist prinzipiell ganz einfach zu schließen“, sagt Heider. Er und sein Team haben die Hersteller bereits vor mehreren Wochen informiert und um die Beseitigung der Schwachstelle gebeten. Einige Unternehmen haben entsprechend reagiert, die Volkswagen Bank stellte sogar innerhalb eines Tages ein entsprechendes Sicherheitsupdate zur Verfügung. Jede neue Version prüfte das Testteam erneut. „Dort, wo die gefundene Lücke beseitigt ist, sollten Nutzer die entsprechende App einfach aktualisieren“, so Heider. Insgesamt raten die Experten des Fraunhofer SIT zu einer vorsichtigen Nutzung von Apps in öffentlichen WLAN-Bereichen. Aufgefallen ist die Lücke während des Pilotbetriebs für das neue Testframework „Appicaptor“, mit dem sich die Sicherheit von Apps automatisiert prüfen lässt. Die Fraunhofer-Experten testeten insgesamt 2000 Android-Apps.

Weitere Informationen zum Thema:

datensicherheit.de, 05.10.2013
Fraunhofer SIT zeigt Tool für automatisierte Sicherheitstests von Apps auf der it-sa 2013

[datensicherheit.de, 04.10.2013] Praktisch alle gesicherten Vorgänge im Internet basieren auf der SSL-Verschlüsselung.
Während Firmen und Privatleute noch auf SSL vertrauen, deuten aktuelle Medienberichte an, dass Verschlüsselung für den US-amerikanischen Geheimdienst NSA kein Hindernis mehr darstellt. Der NSA soll es gelungen sein, gängige Internet-Verschlüsselungsmethoden zu umgehen. Damit sei es möglich, große Teile des verschlüsselten Internet-Verkehrs zu überwachen. Das entsprechende Programm zur Entschlüsselung des Internet-Verkehrs soll den Namen „Bullrun“ tragen und 255 Millionen US-Dollar pro Jahr gekostet haben. Inhaltlich verraten die Berichte in den allgemeinen Medien jedoch nichts, was in der Fachwelt nicht schon seit Jahren Allgemeingut wäre. Der deutsche Sicherheitsexperte Dr. Hubert Jäger, Geschäftsführer des IT-Sicherheitsdienstleisters Uniscon, fasst den derzeitigen fachlichen Stand zum Thema Verschlüsselung wie folgt zusammen:

Keine absolute Sicherheit!

Generell habe schon immer gegolten und gelte noch heute, dass es „keine absolute Sicherheit“ gebe, daher vermieden ernsthafte
Sicherheitsdienstleister wie Uniscon auch Formulierungen, die so verstanden werden könnten. Sicherheit bzw. Privatheit sei vielmehr die „Ökonomie des Schutzes“ – hohe Sicherheit und in Folge zuverlässige Privatheit bedeuteten, dass die Attacke deutlich teurer kommt als die Beute wert ist.

Foto: Uniscon GmbH

Dr. Hubert Jäger: Sicherheit bzw. Privatheit als „Ökonomie des Schutzes“ definiert

Fatale Neigung, schwächste Glieder der Sicherheitskette zu ignorieren

Außerdem gelte stets, dass eine Sicherheitskette nur so stark sei wie ihr schwächstes Glied. Häufig neigten Sicherheitstechniker aber dazu, gerade die Glieder der Kette, von denen sie glauben, sie nicht sicher gestalten zu können, in ihrem Konzept zu verdrängen. An dieser Stelle setze die Uniscon GmbH auf ihrem Spezialgebiet, Sicherheit in der Cloud, an – in einer „ABC-Analyse“ der Sicherheitsketten liege die Sicherheit beim Betreiber von Cloud-Diensten, E-Mail-Diensten und Webservern an erster Stelle bei möglichen Lecks. Das heiße also, dass das Risiko besonders hoch sei. Die Sicherheit der Endgeräte sei das zweitgrößte Sicherheitsloch. Die verschlüsselte Übertragung über SSL/TLS sei dann nur noch das drittwichtigste Leck.

Betreibersicherheit hat Priorität!

Bislang würden oft ohne echten Beweis die Dienstanbieter sowie die Geräte-, Betriebssystem- und Anti-Virus-Hersteller als vertrauenswürdig angesehen, kritisiert Dr. Jäger. Die Datenskandale seien jedoch überwiegend auf Untreue und Lecks bei den Anbietern zurückzuführen, nicht auf geknackte Verschlüsselungen. Es sei also geboten, sich erst um das schwächste Glied in der Sicherheitskette und dann um das zweitschwächste usw. zu kümmern. Also seien zuerst Betreibersicherheit und vertrauenswürdige Endgeräte zu verbessern, dann sei eine besonders sichere Verschlüsselung zu entwickeln.

Unscharfe Diskussion über „Verschlüsselung“

Wenn in den Medien über „geknackte“ Verschlüsselungen berichtet wird, so werde in der Regel nicht zwischen den verschiedenen Methoden unterschieden, erläutert Dr. Jäger.

1. Bei SSL/TLS sei die einfachste Methode des Abhörens, sich als „Mann in der Mitte“ zwischen Sender und Empfänger zu stellen. Man müsse dazu eine zweite verschlüsselte Verbindung aufbauen, von der – und das sei das Problem – der normale Nutzer in gewöhnlichen Browsern nichts mitbekomme, während Experten die Zertifikatsdetails anschauten und den Angriff erkennen könnten. Die Geheimdienste beherrschten diese Methode wahrscheinlich, da sie bei manchen Zertifikatserstellern sogenannte Root-Zertifikate erhalten oder vielleicht auch in den Browsern eigene Root-Zertifikate deponiert hätten. Deswegen enthalte z.B. das „Firefox-Add-in für IDGARD“ eine automatisierte Angriffserkennung.
2. Eine zweite Methode des Abhörens sei das Kopieren des verschlüsselten Datenstroms und das anschließende automatisierte Durchprobieren aller möglichen Schlüssel. Dies dauere bei guter Verschlüsselung sehr lange. Bei mangelhafter Verschlüsselung könne das bei hohen Rechenleistungen und entsprechenden Kosten für die Geheimdienste aber inzwischen auch sehr schnell bewerkstelligt werden. „IDGARD“ etwa besitze für seine Verschlüsselung ein A-Rating. Dies bedeute, dass alles, was im Bereich SSL/TLS sicherheitstechnisch erreichbar ist, erreicht worden sei.
   Mittelfristig werde „IDGARD“ optional eine weitere Verschlüsselung „on-top“ anbieten.
3. Eine weitere Möglichkeit, Verschlüsselung zu knacken, seien der Fachöffentlichkeit unbekannte bzw. geheime „Back Doors“, also bislang unentdeckte Einfallstore oder Schwächen der Implementierung. Diese könnten Angreifer zur Entschlüsselung nutzen, wenn sie den Datenstrom kopiert haben. Hiergegen würden nur „Open Source“-Implementierungen helfen, so beispielsweise bei „IDGARD“ eingesetzt.

Unsicherheitsfaktor Mensch

Dass Privat- und Geschäftskommunikation abgehört wird, sollte mittlerweile jedem klar sein, unterstreicht Dr. Jäger. Heute gehe es in
erster Linie darum, dass das verdrängte Sicherheitsproblem beim Betreiber, zum Beispiel von Cloud-Diensten, E-Mail-Diensten und
Webservern, angegangen werde. Die meisten Sicherheitskonzepte von Cloud-Anbietern berücksichtigten den Unsicherheitsfaktor „Mensch“ nicht in umfassender Form. Um Vertrauen und Integrität in der Cloud umsetzbar zu machen, habe z.B. Uniscon die „Sealed-Cloud-Technologie“ entwickelt.

Uniscon setzt auf „Sealed Cloud

Unternehmensdaten, die auf „Sealed Cloud“-Servern gespeichert sind, seien technisch so abgesichert, dass sie vor den Blicken Außenstehender und sogar vor den Blicken des Cloud-Betreibers geschützt seien. Mit dem auf der „Sealed Cloud“ entwickelten Dienst „IDGARD“ könnten Nutzer über ein Web-Interface oder eine der „IDGARD“-Apps für Smartphones und Tablets auf geschützte Daten in der „Sealed Cloud“ zugreifen und mit ihren Partnern sicher kommunizieren. Seit wenigen Wochen stelle der Dienst zusätzliche Funktionen, wie beispielsweise einen abhörsicheren Chat, als sichere Alternative zu den Chats in Skype oder WhatsApp zur Verfügung. Auch bei der Nutzung von E-Mails arbeiteten viele Nutzer ohne einen angemessenen Datenschutz und legten täglich eigene und fremde
Informationen offen. Mit „IDGARD“ lässt sich das vermeiden, da der Dienst sichere Kommunikationsräume schaffe, die von allen üblichen Plattformen aus nutzbar seien.

Weitere Informationen zum Thema:

Sealed Cloud
Wir schreiben PRIVACY ganz groß!

[datensicherheit.de, 24.01.2011] Wer aus beruflichen Gründen viel unterwegs ist, nutzt oft die Möglichkeit, über WLAN Hot Spots zu arbeiten – sei es nun am Flughafen, am Bahnhof oder in Cafés, Hotels und Restaurants:
Alleine für Deutschland ergibt die Suche über einen der gängigen Hot-Spot-Finder knapp 13.500 Treffer. Allerdings ist das Arbeiten darüber mit Sicherheitsrisiken verbunden, denn eine unverschlüsselte Datenübertragung kann heute problemlos über sogenannte Sniffer-Programme mitgelesen werden.
Für Unternehmen bedeutet das, dass ihre sensiblen Firmendaten ausspioniert und missbraucht werden können. Zwar ist die Anmeldung meistens verschlüsselt, zum Beispiel über SSL, danach werden Daten aber in der Regel unverschlüsselt übertragen. Eine Möglichkeit, sich in offenen WLANs zu schützen, ist der Zugriff auf das Firmennetz via VPN. Dazu muss allerdings ein VPN-Client am Laptop des mobilen Mitarbeiters installiert sein, was diesen deutlich einschränkt – er kann dann ausschließlich mit diesem Gerät arbeiten.
Eine flexible Alternative soll nun „sayTRUST Access“ bieten – diese Lösung besteht aus einem Server, der im Unternehmen installiert wird, und Clients in Form von handlichen USB-Sticks für die mobilen Mitarbeiter.
Die Installation von Server und Clients sei extrem einfach und die Handhabung des kleinen USB-Gerätes auch für technisch nicht versierte Mitarbeiter problemlos. Im Gegensatz zu VPN-Technologie sei der Stick vollkommen unabhängig von einem Client-PC; so könnten Anwender von jedem beliebigen Windows-Computer mit Internetverbindung aus auf das Unternehmensnetz zugreifen – unabhängig davon, ob es ihr eigener Rechner oder ein fremder PC zum Beispiel in einem Internetcafé ist. Damit könnten mobile Mitarbeiter nun auch in offenen WLANs eine sichere Verbindung in ihr Firmenintranet aufbauen, ohne sich der Gefahr von Datenklau oder dem Einschleusen von Schadprogrammen auszusetzen. Auch das Risiko, beim Arbeiten an einem fremden PC Spuren im Cache zu hinterlassen, bestehe bei der Nutzung von „sayTRUST Access“ nicht, denn der Anwender könne über den Browser surfen, den er an seinem PC in der Firma benutzt.
„sayTRUST Access“ verfüge über eine Vielzahl Sicherheitsmechanismen und ermögliche einen biometrischen PIN- und 2048-Bit-Zertifikats-gesteuerten Zugriff auf Firmennetze. Die Verbindung zwischen Server und Client erfolge auf Applikationsebene, also ohne direkte Netzwerkkopplung. Über „White-“ und „Black-Listen“ bestimme der „sayTRUST Access“-Server, welche Programme Benutzer oder -gruppen über den „sayTRUST Access“-Tunnel verwenden dürften und schließe alle nicht freigegebenen Anwendungen aus.
Besonders kritische Unternehmensdaten ließen sich so optimal schützen. Die mehrstufige Authentifizierung und Funktionen, die zum Beispiel für den Client verschleierte Netzwerk-Ressourcen verwalteten, lieferten Anwendern die nötige Sicherheit und Flexibilität.