- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

TLS-Verschlüsselung keine Herausforderung


"KRACK"-WLAN-Sicherheitslücke bedroht vor allem Unternehmen
Unverschlüsselte E-Mails können durch KRACK leicht mitgelesen werden

- Anzeigen -





Die Sicherheitslücke "KRACK" in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können. Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt.

Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

Weniger beachtet wurden bisher die Auswirkungen von KRACK auf den E-Mail-Verkehr. E-Mails sind grundsätzlich nur so sicher wie Postkarten. Wer Zugriff auf die Datenströme hat, kann E-Mails mitlesen und manipulieren. HTTPS schützt E-Mails nur beim Abruf vom Mailserver über den Browser. Für die Verschlüsselung der Verbindung zwischen Mailservern steht TLS-Verschlüsselung zur Verfügung.

Dr. Burkhard Wiegel, Geschäftsführer und Gründer der Berliner E-Mail-Verschlüsselungsspezialistin Zertificon, warnt davor, bei der E-Mail-Sicherheit ausschließlich auf TLS-Verschlüsselung zu vertrauen: "Die Transportverschlüsselung TLS wird nicht flächendeckend eingesetzt. Unsere eigenen Messungen haben ergeben, dass ca. 50 Prozent der E-Mails nicht TLS verschlüsselt sind. Wenn TLS eingesetzt wird, sind dies häufig veraltete Versionen. Auch das TLS-Zertifikatsmanagement ist nicht sicher. Denn Zertifikate werden selbst ausgestellt, Prüfmechanismen werden nicht genutzt. TLS ist anfällig für "Man-in-the-middle"-Attacken." Dr. Wiegel sieht sogar die grundsätzliche Gefahr durch TLS viel höher als bei der Sicherheitslücke KRACK: "Für Angreifer, die in der Lage sind, KRACK auszunutzen, ist das Hacken einer TLS-Verschlüsselung gar keine Herausforderung."

Die Bedrohung für Unternehmen ist real. Wer sich in ein Gewerbegebiet begibt oder in den Ballungsräumen der Start-up-City Berlin ein Café aufsucht, hat sehr schnell physischen Zugang zu einer großen Auswahl an Firmen-WLANs und damit gegebenenfalls zur Kommunikation ganzer Unternehmen. Die Gefährdung wird vielfach unterschätzt. Dabei gibt es vielfältige Nutzungsszenarien für die E-Mail-Ausbeute eines Werktages. Eine der derzeit gefürchtetsten Attacken auf Unternehmen ist der CEO-Fraud. Die Aufklärung der Mitarbeiter zu dieser Betrugsmasche bleibt fruchtlos, wenn der Angreifer seine Story auf der Basis intimster Firmenkommunikation konstruieren kann. Doch auch der ungewollte Know-how-Transfer, Mitarbeiterabwerbung und Erpressungsversuche aller Art basieren auf Insider-Informationen, die über den Mailverkehr leicht zu erbeuten sind.

Einzig die Kombination aus E-Mail-Signatur und E-Mail-Verschlüsselung bietet Unternehmen, deren Geschäftspartnern und Kunden Sicherheit. Die Signatur bestätigt die Unversehrtheit der E-Mail-Inhalte und ihrer Anhänge, die Verschlüsselung dagegen bewahrt die gesamten Daten vor unberechtigtem Zugriff.

Grundsätzlich sind Unternehmen und Privatpersonen gut beraten, sich beim E-Mail-Versand nicht alleine auf die Transportverschlüsselung wie WPA2 oder TLS zu verlassen. Wird nur der Übertragungsweg gesichert, bleiben die Daten darin schutzlos, wenn der sicher geglaubte Transporttunnel Lücken aufweist. Und die nächste Sicherheitswarnung kommt gewiss.

Ein großes Maß an Sicherheit sowohl für Privatnutzer als auch für Unternehmen bietet die Verschlüsselung der Inhalte. Wer seine E-Mails ende-zu-ende verschlüsselt, schützt diese unabhängig von der Sicherheit der Transportstrecke. Wenn Angreifer Zugang zum WLAN bekommen oder sich in andere Datenleitungen hacken, bleiben als Beute nur nutzlose verschlüsselte Datenpakete.

Verschlüsselung wird häufig als wenig effizient und nicht wirtschaftlich wahrgenommen. Diese Einschätzung ist veraltet. In vielen Unternehmen sind sogenannte Secure Email Gateways zur E-Mail-Verschlüsselung und -Signatur heutzutage Bestandteil der Standard IT-Infrastruktur. Diese Gateways arbeiten weitgehend automatisiert im Hintergrund, ohne dass die Mitarbeiter sich mit dem Thema Verschlüsselung beschäftigen müssen.

Um geschäftliche E-Mails auch auf Endgeräten, Servern, internen Strecken sowie im WLAN und in Mobilfunknetzen zu schützen, kann ein Secure Email Gateway zur "Organizational Ende-zu-Ende-Verschlüsselung" erweitert werden. Mit diesem Schutzniveau wäre selbst der Bundestagshack 2015 wirkungslos geblieben und auch KRACK verliert seinen Schrecken. (Zertificon Solutions: ra)

eingetragen: 06.11.17
Home & Newsletterlauf: 07.12.17


Zertificon Solutions: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Schutz vor den Psycho-Attacken der Hacker

    Altgediente Buchhalter überweisen Millionenbeträge auf die Konten von Kriminellen, Sekretärinnen versenden vertrauliche Konstruktionspläne als Download-Link. Als Social Engineering bezeichnen Sicherheitsexperten Angriffsmethoden auf Unternehmen, die auf die Manipulation der Mitarbeiter setzen. Die Betroffenen merken dabei in der Regel nicht, dass sie vertrauliche Informationen an Cyberkriminelle weitergeben. Die Mitarbeiter entsprechend zu sensibilisieren gehört daher zu den wichtigsten Themen im Bereich IT-Security. Die wachsende Bedeutung zeigt auch die aktuelle eco Sicherheitsstudie1. "In vielen Fällen sind es gutgläubige Mitarbeiter, die Kriminellen Zugang zu vertraulichen Informationen geben", sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco - Verband der Internetwirtschaft e. V. "Eine gute Cyber-Abwehrstrategie muss daher auch immer die Awareness der Mitarbeiter steigern, damit diese solche Angriffe auch unter Stress erkennen können." Oft versuchen Angreifer insbesondere kurz vor Büroschluss oder dem Wochenende Handlungsdruck aufzubauen.

  • Warnt vor aktuellen Smart Home-Angeboten

    Smart Home boomt weiter. Der europäische Versicherverband IE analysiert Nutzen wie Risiken der Systeme, bietet einen Ausblick in die Zukunft - und warnt explizit vor Do-it-yourself-Einbau. Die europäischen Versicherer beschreiben in einem Positionspapier zahlreiche Schwächen aktueller Smart Home-Angebote, die auch immer wieder zur vermeintlichen Sicherung kleinerer Gewerbe eingesetzt werden - und warnen zudem explizit vor Do-it-yourself-Einbau. Smart Home-Systeme sind "viel beworben und oft gewünscht", so titelt beispielsweise die Stiftung Warentest in ihrer aktuellen Ausgabe.

  • VdS-Richtlinien für sichere Alarmempfangssoftware

    Das baldige Abschalten der analogen Netzinfrastruktur in Deutschland bedingt technische Änderungen in zahlreichen Leitstellen. Viele Anbieter wünschen statt der bisher genutzten Empfangsanlagen rein softwarebasierte Lösungen. Solche Empfangsprogramme sind noch relativneu und bislang nicht mit VdS-Anerkennung im Markt erhältlich. Um die Verlässlichkeit dieser Innovationen eindeutig zu belegen, hat eine Gruppe von Sicherheitsunternehmen Ende 2017 einen "offiziellen gemeinsamen Antrag" an VdS gerichtet: u.a. Bosch, die Commerzbank und Siemens wünschten "die Ausweitung der VdS-Standards auf softwarebasierte Alarmempfänger in virtueller Umgebung."

  • NTT Security warnt vor Deepfake-Angriffen

    Künftig ermöglichen Deepfakes Cyber-Angriffsszenarien in einer ganz neuen Dimension, warnt NTT Security. Da bisher keine ausgereiften technischen Abwehrmechanismen zur Verfügung stehen, müssen Unternehmen größte Vorsicht walten lassen. 2017 tauchten erstmals in größerem Stil Deepfake-Videos auf; vor allem gefälschte Porno-Videos mit Hollywoodstars wie Scarlett Johansson und Emma Watson verbreiteten sich rasch im Internet. Große Bekanntheit erlangten zudem die zahlreichen Deepfakes mit Nicolas Cage, in dem der Oscar-Preisträger nahezu in jedem Hollywoodstreifen zu sehen war. Und auch Politiker wurden von Deepfakes nicht verschont, etwa Angela Merkel, die in einer Rede plötzlich die Gesichtszüge von Donald Trump annimmt.

  • Neun Tipps, um den Computer abzusichern

    Hacker haben es auch auf die Computer in Schulen und von Schülern abgesehen. Denn hier sind teils sensible Daten wie Schulzeugnisse, Krankheiten oder Zugangsdaten zu Social Media- und E-Mail-Konten gespeichert. Lehrer und Eltern sind meist schlecht auf einen möglichen Cyberdiebstahl vorbereitet. Daher sollten auch sie ihre Hausaufgaben jetzt erledigen und die von den Kindern genutzten Computer absichern. Die Sicherheitsexperten von F5 geben neun Tipps, wie Computer am besten abgesichert werden können.