DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Wie frei nutzbare Res­sourcen zum Risiko werden können – Teil 2

Öffentliche Ressourcen Teil 2

Öffent­liche WLANs ent­lasten den Geld­beutel und steigern die Qua­lität der Inter­net­ver­bindung. Aber sie erhöhen auch die Gefahr eines Daten­ver­lustes. Nur wer die Risiken kennt, kann sie ver­meiden.

 

Öffent­liche WLANs

Sicher­heits­me­cha­nismen wie WPA2, die man in pri­vaten oder unter­neh­mens­in­ternen Netzen ein­setzt, sind in öffent­lichen Netzen häufig nicht prak­ti­kabel. Statt­dessen ist die Netz­an­meldung für jeden offen und eine even­tuelle Berech­ti­gungs­prüfung greift erst, wenn man schon im WLAN-Netz ist.

Genau hier liegt der Knack­punkt. Jeder kann in das WLAN-Netz kommen und den Daten­verkehr mit­lesen. Auf­grund der tech­ni­schen Kon­struktion solcher WLAN-Netze ist es sogar möglich ein fremdes Netz zu simu­lieren, denn ein WLAN-Acces­s­­punkt hat keinen Ausweis, der bestätigt, dass der Access­punkt wirklich vom Anbieter betrieben wird. Ob also das Hotel-WLAN in der Lounge, das Ihr Smart­phone anzeigt, wirklich vom Hotel betrieben wird oder viel­leicht doch von Ihrem Sitz­nachbarn, können Sie nicht über­prüfen. Ihr Nachbar benötigt dazu nicht einmal eine besondere Hardware. Ein simpler Laptop oder sogar ein Smart­phone reichen schon aus.
 
Kann ein Angreifer den Daten­verkehr mit­lesen, hat er sofort Zugriff auf alle unver­schlüs­selten Daten. Syn­chro­ni­siert sich bei­spiels­weise Ihr Smart­phone über eine unver­schlüs­selte Ver­bindung mit dem Mail-Server, sind nicht nur die E‑Mails lesbar, sondern auch Ihr E‑Mail-Account inklusive Passwort.

Viele Mail­pro­vider (FreeMail, GMX, Telekom, web.de) haben daher im Frühjahr 2014 auf eine Zwangs­ver­schlüs­selung bei der Syn­chro­ni­sation umge­stellt. Bei anderen Pro­vidern sollten Sie prüfen, ob in der Kon­fi­gu­ration Ihres E‑Mail-Pro­­­grammes (Outlook, Thun­derbird, Smar­t­­phone-App) Optionen zu Ver­schlüs­selung akti­viert sind. Sie finden diese häufig unter den Stich­worten SSL oder TLS oder StartTLS. Auf Grund der Vielfalt von Clients und Pro­vi­der­pa­ra­metern kann leider keine all­ge­mein­gültige Ein­rich­tungs­emp­fehlung gegeben werden. Zu kon­kreten Ein­rich­tungs­fragen suchen Sie am besten in der FAQ-Sammlung Ihres E‑Mail-Pro­­­viders (Stich­worte POP3, IMAP, Ver­schlüs­selung).

Nutzer der Web-Ober­­fläche der Mail-Pro­­­vider sind sicher, denn dort wird ja HTTPS ver­wendet? Grund­sätzlich ja. Aber … . Wie bei vielen Dingen folgt einer ein­fachen Frage eine nicht ganz so ein­fache Antwort. Grund­sätzlich sind HTTPS-ver­­­schlüs­­selte Ver­bin­dungen vor dem Mit­lesen geschützt. Leider betten aber manche Anbieter –und hier geht es nicht allein um Web­­Mailer- ihre Anmeldung gleich in die Start­seite mit ein. Ist die Start­seite nicht über https geschützt, was meistens noch der Fall ist, gibt es ein gra­vie­rendes Sicher­heits­problem.  Der unbe­darfte Anwender kann gar nicht erkennen, ob die inte­grierte Anmeldung https-ver­­­schlüsselt ist, denn der Browser zeigt nur die URL der Start­seite an. Da steht dann nur http. Leitet nun ein Angreifer den Daten­verkehr über seinen eigenen Rechner, wie im Bei­spiel der Hotel-Lounge, so kann er nicht nur den unver­schlüs­selten Verkehr mit­lesen, sondern auch unbe­merkt ver­ändern. Und so wird aus einer inte­grierten Anmeldung mit HTTPS schnell eine inte­grierte Anmeldung mit http. Der Anwender merkt davon nichts. Hat der Angreifer also unbe­merkt auf http „umge­schaltet“, so kann er bequem das Passwort aus­lesen.

Geben Sie Pass­wörter und andere ver­trau­liche Daten im Web nur dann ein, wenn für Sie klar erkennbar ist, dass die Ver­bindung HTTPS-ver­­­schlüsselt ist.

Apps kom­mu­ni­zieren vielfach ins Internet, ohne dass der Benutzer sehen kann, ob die Daten ver­schlüsselt werden. Hier bleibt nur das Ver­trauen in den Her­steller oder eine tief­ge­hende tech­nische Analyse. Das Fraun­hofer Institut für Sichere Infor­ma­ti­ons­tech­no­logie hat zu den belieb­testen Android Apps eine solche Analyse durch­ge­führt und auf­ge­zeigt, dass sehr viele auch renom­mierter Her­steller Defizite in der Umsetzung ver­schlüs­selter Ver­bin­dungen haben. Hier sollten Sie min­destens darauf achten immer die neueste Version einer App ein­zu­setzen oder besser auf den Einsatz in öffent­lichen Netzen ver­zichten, wenn Sie Zweifel an der Qua­lität der App haben.

Aber nicht nur der Umgang mit Pass­wörtern und anderen ver­trau­lichen Daten stellt ein Risiko in öffent­lichen WLANs dar. Auch Down­loads und Updates können ein Risiko dar­stellen. Genauso wie Web­seiten mani­pu­liert werden können, können auch Down­loads mani­pu­liert werden. Und schon stammt der Download nicht mehr von Ihrem ver­trau­ens­wür­digen Down­load­an­bieter, sondern vom Angreifer im öffent­lichen WLAN. Schutz bietet hier wieder die HTTPS-Ver­­­bindung oder eine Signatur der her­un­ter­ge­la­denen Datei. Aber bitte nicht auf even­tuell ange­gebene Hash-Werte auf der Download-Seite ver­lassen. Auch diese können mani­pu­liert sein. Besser sind bei­spiels­weise PDF-Signa­­turen und signierte Pro­gramme. Bei aus­führ­baren Dateien weist Microsoft Windows auf den Her­steller hin. Starten Sie auf keine Fall Dateien mit unbe­kanntem Her­steller, wenn Sie die Bezugs­quelle nicht genau veri­fi­zieren können.

Fein raus sind Anwender, die eine VPN-Lösung ein­setzen. Sie brauchen sich um all die Punkte rund ums öffent­liche WLAN keine Gedanken machen, da der VPN-Tunnel unab­hängig von der Anwendung alle Daten ver­schlüsselt.

Quint­essenz

Öffent­liche IT-Res­­sourcen stellen ein nicht zu unter­schät­zendes Gefah­ren­po­tenzial für mobile End­geräte dar. Der Sicher­heits­st­status der ange­bo­tenen Res­sourcen kann durch den Nutzer nicht beurteil werden, daher sollten in solchen Situation ver­trau­liche Daten weder ein­ge­geben noch ange­zeigt werden. Weitere Tipps zum sicheren Umgang mit solchen Ange­boten finden Sie im 1. Teil. Eine Zusam­men­fassung von Tipps fürs mobile Arbeiten finden Sie hier.

Größter Risi­ko­faktor bleibt trotz aller Technik häufig der Mensch. Warum tech­nisch auf­wändig eine E‑Mail abfangen, wenn man sich allein durch Zuhören eines Gesprächs zweier Kol­legen in der Business-Lounge den Inhalt der E‑Mail erschließen kann. Gerade beim mobilen Arbeiten gilt daher, dass ein aus­ge­wo­genes Konzept zwi­schen tech­ni­scher Sicherheit und Ver­ant­wor­tungs­be­wusstsein vor­liegen muss, um den Risiken hin­rei­chend zu begegnen.

Bild:  © Schwertle1982 / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Jörg Spilker, DATEV eG

Seit 2001 bei der DATEV eG. Ange­fangen mit der Ent­wicklung von Web­an­wen­dungen ver­la­gerte sich sein Schwer­punkt zunehmend zum Thema IT-Security. 2011 wech­selte er dann kon­se­quen­ter­weise in die IT-Security und kümmert sich nun um Infor­ma­ti­ons­si­cherheit des Unter­nehmens.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.