FAQ Transportverschlüsselung

TLS/SSL - Fragen und Antworten

23.09.2015 von Melih Abdulhayoglu

Seit den NSA-Enthüllungen und dem OpenSSL-Desaster fragen sich viele Anwender, wie sicher die Webserver und der Datenverkehr im Internet überhaupt sein können. Was steckt hinter dem "Transport Layer Security"-Protokoll? Antworten finden Sie in unseren FAQ.

Das Internet ist eine reiche Fundgrube für persönliche Daten aller Art. Cyber-Kriminellen gelingt es häufig, unerlaubt in den Besitz vertraulicher Information zu gelangen und diese zu missbrauchen. Gleichzeitig blüht der Handel mit personenbezogenen Daten. Ein sicherer Kommunikationskanal ist deshalb nicht nur für Online-Banking, Online-Shopping und E-Government-Dienste, sondern auch für E-Mail und alle anderen webbasierten Anwendungen unabdingbar. Verschlüsselung ist nach wie vor die sicherste Möglichkeit, Daten vor Missbrauch zu schützen. Doch auch hier setzen Schadprogramme an mit dem Ziel, Verschlüsselungsmethoden auszuhebeln. Digitale Zertifikate gewährleisten das Vertrauen in die Sicherheit von Links, die Vertraulichkeit der Datenübermittlung sowie den Inhalt der besuchten Webseite.

Wie funktioniert Verschlüsselung?

Stellen Sie sich vor, sie tätigen über das Online-Portal Ihrer Bank eine Überweisung, oder Sie hinterlegen persönliche Daten im Profil eines Business-Netzwerks. In beiden Fällen geben Sie vertrauliche Informationen preis, deren Missbrauch für Sie unangenehme Folgen hat. Durch die Verschlüsselung digitaler Daten (engl.: Encryption) werden alle verständlichen Informationen auf Basis eines oder mehrerer "Schlüssel" in eine nicht interpretierbare Zeichenfolge übersetzt. Dies gewährleistet die Integrität der Datenübertragung und die Verwendung der Daten entsprechend geltender Sicherheitsstandards.

Welche Verschlüsselungsmethoden kommen im Internet zum Einsatz?

Am häufigsten wird das Transport-Layer-Security-Protokoll (TLS) für die Kommunikation im Internet verwendet. TLS ist eine Erweiterung des Secure-Sockets-Layer-Protokolls (SSL). TLS und SSL kombinieren symmetrische Verschlüsselungsverfahren (Sender und Empfänger verwenden einen gemeinsamen, geheimen Schlüssel) mit asymmetrischen Algorithmen (die Daten werden durch einen öffentlich bekannten Schlüssel verschlüsselt und durch einen geheimen Private Key entschlüsselt). Diese Methode wird auch als Public-Key-Technologie bezeichnet.

Die 13 Gebote des Cyber-Kriegs -

1. Gebot: Planen Sie zuallererst das Sicherheitskonzept!
Definieren Sie Ihren „Goldschatz“ und den richtigen Umgang damit. Machen Sie sich die Stärken und Schwächen Ihres Teams und die des Gegners bewusst. Bedenken Sie die Chancen und Risiken eines Cyberkrieges. Überlegen Sie, wie Sie Ihre Risiken reduzieren können. Erstellen Sie auf dieser Grundlage ein Sicherheitskonzept und ein passendes Kommunikationskonzept.

2. Gebot: Ihr Konzept sollte auf Ihre Prozesse und Bedürfnisse ausgelegt sein!
Ein Konzept von der Stange gibt es nicht. Ihr Sicherheitskonzept muss so individuell sein, wie Ihr Unternehmen. Passen Sie das Konzept Ihren Prozessen und Ihren Bedürfnissen an.

3. Gebot: Kennen Sie Ihre Gegner und deren Strategien!
Ein Informationsvorsprung ist im Cyberkrieg Trumpf. Bringen Sie in Erfahrung, woher die Gefahr für Ihr Unternehmen rührt und mit welchen Maßnahmen Sie ihr adäquat begegnen können. Der Gegner kann die Konkurrenz sein, aus den eigenen Reihen stammen oder Hacker und Spammer sein, die ihre Macht gerne auskosten.

4. Gebot: Wissen Sie, wann was abgesichert werden muss!
Planen Sie Ihre Maßnahmen gründlich. Zum Pflichtprogramm gehören regelmäßige Programmupdates, eine Datendiät, ein Systemberechtigungskonzept, ein passendes Mobile Device Management oder Cloud-Dienste auf europäischem Boden. Überlegen Sie, welche Sicherheitsmaßnahmen Sie darüber hinaus angehen müssten. Bedenken Sie dabei das richtige Timing.

5. Gebot: Erhöhen Sie die sichernden Mauern an der niedrigsten Stelle!
Erkennen Sie Ihre Schwächen und Stärken. Dort, wo Ihre Schwächen liegen, sind Sie schnell und leicht angreifbar. Beheben Sie Ihre Schwächen.

6. Gebot: Ausgaben allein verbessern die Sicherheit nicht!
Finanzen sind wichtig: Gehen Sie mit den finanziellen und personellen Ressourcen sorgsam um. Vermeiden Sie „Hauruck“-Aktionen und Investitionen in falsche Maßnahmen, denn sie schwächen die eigene Position. Bedenken Sie jedoch, dass Ausgaben alleine die Sicherheit nicht verbessern. Die richtige Einstellung zur IT-Sicherheit im Unternehmen ist viel wichtiger für den Erfolg. Eine besondere Bedeutung kommt dabei den Führungskräften zu, die eine Kultur der Sicherheit vorleben und einfordern müssen.

7. Gebot: Organisieren Sie sich so, dass Sie auch auf neue Sicherheitsrisiken schnell, effizient und effektiv reagieren können!
Eine im Unternehmen anerkannte und professionelle IT-Sicherheitsmannschaft ist das A und O. Nur wenn ihre Stimme ein Gewicht hat, wird die Mannschaft kein zahnloser Tiger sein. Entwerfen Sie einen Krisenplan für den Ernstfall. Darin sollte definiert sein, wer, was, wann tun muss. Entwickeln Sie den Krisenplan weiter, indem Sie Ihre Erfahrungen aus Übungen und aus Vorfällen einfließen lassen.

8. Gebot: Bestimmen Sie einen Verantwortlichen für das Sicherheitskonzept!
Ohne einen Verantwortlichen, der die Umsetzung des Konzepts kontrolliert, ist das Sicherheitskonzept nicht das Papier wert, auf dem es steht. Das Konzept muss gelebt werden.

9. Gebot: Kaufen Sie Expertise hinzu, wenn sie Ihnen intern fehlt!
Fehlt Ihnen die Expertise im eigenen Team, können Sie sie kostengünstig und schnell hinzukaufen.

10. Gebot: Kommunizieren Sie über IT-Sicherheitsaspekte und kontrollieren Sie die Umsetzung des Sicherheitskonzepts!
Kommunizieren Sie regelmäßig über IT-Sicherheitsthemen. Wenn Mitarbeiter nicht wissen, wie sie sich richtig verhalten, werden sie es auch nicht tun. Verbindliche Schulungen zu IT-Sicherheitsthemen sind hilfreich. Kontrollieren Sie die Umsetzung des Sicherheitskonzepts. Vergehen dürfen nicht ignoriert werden.

11. Gebot: Gehen Sie als Führungskraft stets mit gutem Beispiel voran!
Wichtiger noch als Vergehen zu ahnden ist es, selbst ein Vorbild für IT-Sicherheit zu sein. Nur wenn Sie das Thema glaubwürdig vertreten, werden Ihre Mitarbeiter IT-Sicherheit ernst nehmen.

12. Gebot: Finden Sie die richtige Balance zwischen IT-Sicherheit und der Arbeitsfähigkeit der Mitarbeiter!
Extreme Sicherheitsmaßnahmen verhindern häufig die Arbeitsfähigkeit der Mitarbeiter. Handeln Sie stets mit Augenmaß. Binden Sie Mitarbeiter bei der Entwicklung von IT-Sicherheitsmaßnahmen ein, um die Auswirkungen der Maßnahmen für den Arbeitsalltag zu verstehen.

13. Gebot: Seien Sie stets über Ihre IT-Sicherheit, über Fortschritte und Gefahren informiert!
Halten Sie sich auf dem Laufenden. Für den Gegner sollten Sie jedoch stets unberechenbar sein. Verschleiern Sie die eigenen Stärken und Schwächen sowie Ihre Strategie. So diktieren Sie die Bedingungen des Cyber-Kriegs.

Was sind die Aufgaben von SSL bzw. TLS?

Wie der Name bereits verrät, garantiert das Transport Laye- Security-Protokoll eine abgesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Dabei gewährleistet ein hybrides Verschlüsselungsverfahren nicht nur die Sicherheit der Informationen, sondern sorgt auch für die gegenseitige Authentifizierung der Kommunikationspartner. Digitale Zertifikate stellen sicher, dass die verwendeten Schlüssel nicht durch Unbefugte manipuliert wurden. Ziel ist der Aufbau einer vertraulichen Ende-zu-Ende-Datenübertragung unter Verwendung eines gemeinsamen Sitzungsschlüssels. Dabei werden die zu übertragenden Daten vom Sender verschlüsselt und erst vom Empfänger wieder entschlüsselt.

Was hat Verschlüsselung mit Zertifikaten zu tun?

Um die Echtheit eines Schlüssels zu erkennen, wird zusätzlich ein Zertifikat - vergleichbar mit einer digitalen Unterschrift - benötigt. Dessen Echtheit lässt sich mit dem öffentlichen Schlüssel des Zertifikatausstellers prüfen. In der Summe der Kommunikationsanfragen entsteht so eine Reihe von Zertifikaten. Diese nennt sich Validierungspfad oder Zertifizierungspfad. Diese Nachweiskette ist wichtig, da sich die User auf die Echtheit des letzten Zertifikates und des letzten zertifizierten Schlüssels verlassen können müssen.

Welche Anwendungen verwenden SSL-Zertifikate?

TLS- beziehungsweise SSL-Zertifikate unterstützen alle wesentlichen Protokolle der Kommunikationsarchitektur im Internet. Dazu gehören beispielsweise vorrangig die Protokolle HTTP, FTP, SMTP und POP3.

Wie verläuft ein typischer SSL-Verbindungsaufbau?

Ein Internetnutzer ruft über seinen Browser eine Website auf. Der Server der Zielseite überträgt das Zertifikat der Webseite an den Client des Users. Damit weist das Zertifikat die Identität und Vertrauenswürdigkeit der Webseiten gegenüber dem Empfänger aus. Die übermittelten Daten umfassen neben dem Namen des Servers und des Zertifikatausstellers auch den bekannten öffentlichen Schlüssel (Public Key).

Im nächsten Schritt prüft der Browser das Zertifikat auf Gültigkeit. Dies ist notwendig, um Missbrauch durch manipulierte Webseiten zu verhindern. Prüfsummen schützen Zertifikate vor unerlaubter Veränderung. Diese auch Hash-Summen genannten Zahlenkombinationen werden automatisch erzeugt. Dabei werden unverwechselbare Merkmale wie die Bit-Anzahl der insgesamt zu übertragenden Daten mit einem definierten Faktor multipliziert. Das Ergebnis entspricht der individuellen Prüfsumme. Diese wird zusammen mit der Nachricht an den Empfänger übertragen. So lässt sich aus den gesendeten Daten ebenfalls eine Hash-Sum errechnen. Stimmt diese mit der vom Sender übertragenen Prüfsumme überein, wird die Nachricht als sicher eingestuft.

9 neue Security-Mythen -

Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ...

Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert.

Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll.

Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen.

Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden.

Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht.

Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle.

Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift.

Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!

In einem nächsten Schritt generiert der Browser automatisch einen Session-Key. Dieser wird mit dem Public Key des Servers verschlüsselt und an die Ziel-Website übertragen. Ab sofort lässt sich der Session-Key vom Zielserver nur mit dem geheimen Server-Key entschlüsseln. Jetzt ist der Verbindungsaufbau abgeschlossen. Alle übermittelten Daten werden fortan mithilfe des Session-Keys symmetrisch verschlüsselt. Gleichzeitig wird laufend die Prüfsumme kontrolliert, um eventuelle Angriffe aufzuspüren.

Schützen Zertifikate vor Datendiebstahl?

Durch den Authentifizierungsvorgang bei der Datenübertragung bieten Zertifikate bereits ein gewisses Maß an Sicherheit vor Phishing- und Pharming-Attacken. Beide Angriffstypen haben zum Ziel, illegal Benutzerdaten zu sammeln. Beim Phishing werden Anwender durch harmlos oder vertraut wirkende Links auf Webseiten gelockt, die Informationen über den nichtsahnenden Besucher ausspähen. Beim Pharming wird der User durch vorsätzlich veränderte Host-Namen ebenfalls auf betrügerische Webinhalte geleitet. Der Einsatz von Zertifikaten schützt den Anwender allerdings nur davor, unabsichtlich auf gefährliche Seiten zu gelangen.

Welche digitalen Zertifikate gibt es?

In den vergangenen Jahren sind eine ganze Reihe unterschiedlicher Zertifikatstypen in Umlauf gekommen. Dies sind vor allem Domain-validierte SSL-Zertifikate (DV), Organisationsvalidierte SSL-Zertifikate (OV) sowie Extended-Validation-Zertifikate (EV). Darüber hinaus gibt es Wildcard-Zertifikate, Multi-Domain-Zertifikate (MDC) und Unified-Communications-Zertifikate (UCC). Zunehmender Beliebtheit erfreuen sich in letzter Zeit die sogenannten Extended-Validation-Zertifikate. Dabei zeigt eine im Browser gut sichtbare Markierung an, dass die Website durch ein zuverlässiges Zertifikat abgesichert ist.

Sind alle Zertifikate gleich sicher?

Nein! In Sachen Sicherheit unterscheiden sich die aktuell verbreiteten Zertifikate stark. Generell muss man davon ausgehen, dass jedes Verschlüsselungssystem theoretisch überlistet werden kann. Dabei hängt die Sicherheit des Zertifikates von zwei Faktoren ab: der Anzahl der in einem Schlüssel verwendeten Zahlen sowie dem Algorithmus des gewählten Verschlüsselungsverfahrens. Weist dieser Schwächen auf, lässt er sich schnell überlisten. Als unsicher aufgrund einer zu kurzen Schlüssellänge gelten nach Aussagen der Bundesnetzagentur die Verschlüsselungsverfahren RC4 (56 Bits), DES und die Prüfsumme MD5 (je 128 Bits). Sicher sind hingegen die Methoden Triple-DES (168 Bits), AES (128 / 256 Bits) und die Prüfsumme SHA (160 bis 512 Bits).

Wer garantiert die Vertrauenswürdigkeit von Zertifikaten?

Die Comodo-Zertifikate beispielsweise werden von Web Trust, einer unabhängigen Auditierungsorganisation, entsprechend geltender Sicherheitsstandards als vertrauenswürdig bewertet. Darüber hinaus werden alle Zertifikateanbieter durch das CA Browser Forum kontrolliert. Die Zertifikate enthalten neben dem eigentlichen Schlüssel auch Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Dazu gehören zum Beispiel die Gültigkeitsdauer sowie die Zertifikatssperrliste. Diese wird durch die CA mit in das Zertifikat eingebracht.

Die Zertifizierungsstelle (CA) ist für die Erzeugung und Überprüfung der digitalen Zertifikate zuständig. Zudem verantwortet sie die Bereitstellung, Zuweisung und Integritätssicherung der ausgegebenen Zertifikate. In dieser Funktion ist sie das zentrale Element der Public-Key-Infrastruktur. Zertifizierungsstellen können Unternehmen und interne Institutionen, aber auch öffentliche Organisationen oder Regierungsstellen sein. In Deutschland wäre dies beispielsweise die Bundesnetzagentur. (sh)