Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Geknackte Verschlüsselung RC4 noch immer im Einsatz
Eine eigene Homepage gehört schon fast zum guten Ton. Doch wie kann dem Geschäftspartner signalisiert werden, dass diese Internetseite tatsächlich dem Unternehmen gehört? Und geschützte Bereiche tatsächlich sicher sind?
Eine eigene Homepage gehört schon fast zum guten Ton. Die Pflichtangaben sind aufgrund diverser Medienberichte voraussichtlich auch jedermann bekannt. Vertipper-Domains oder Weiterleitung bei gecrackten Domains sind auf den ersten Blick kaum zu erkennen.
Seit NSA & Co ist das Bewusstsein gestiegen, dass der Datenaustausch mit Web-Portalen oder Kundenbereichen etc. ebenso mitgelesen werden kann, wie auf einer Postkarte. Woher kennen wir den Vergleich? Richtig, E‑Mail. Dort ist es ebenfalls mit der Sicherheit bzw. Vertraulichkeit nicht weit bestellt, wenn keine Verschlüsselung eingesetzt wird.
Aber auch für Webseiten-Betreiber gibt es eine Möglichkeit zur Verschlüsselung.
Verschlüsselte Web-Seiten – Sicherheit der Zugangsdaten
Kennzeichen der Verschlüsselung von Seiten ist das kleine „s“ bei https. So weit, so gut.
Damit ist sichergestellt, dass sich niemand sensible Daten bei deren Übertragung mitlesen kann. Hier kommt mit Sicherheit wieder die gängigen Argumente: „ich hab doch nichts zu verbergen“, oder „wen interessiert schon, was ich im Internet eingebe“.
Nun, was denken Sie, wen beispielsweise Ihre Passworte interessieren könnten? Für Amazon, eBay oder ihr E‑Mail-Konto? Einkauf, Verkauf und Malware in Ihrem Namen. Ich bin sicher, da findet sich wer!
https und die Verschlüsselungstechnik
Nun ist https nicht gleich https. Bekannte Lücken wie Heartbleed oder Poodle haben durch das Medienecho vielleicht auch die Nichttechniker erreicht, die eigene Internetseiten betreiben. Damals ging es um die verschiedenen Versionen des Sicherheitsprotokolls für die Verschlüsselung – und dass nur noch die Versionen ab „TLS 1.2“ eingesetzt werden sollten. Nebenbei: Um Seiten mit https anbieten zu können, benötigen Sie zusätzlich ein Zertifikat für ihre Web-Seite. Richtig gut sind nur die Extended-Validation-Zertifikate, da diese eine spezielle Art der Identifikation des Betreibers erfordern.
Segen und Fluch: RC4 — Verschlüsselung
Und nun noch etwas tiefer in die Technik: In den Sicherheitsprotokollen SSL/TLS können unterschiedliche Verschlüsselungsalgorithmen verwendet werden.
RC4 ist heute ein ernstzunehmendes Problem: Er gilt eigentlich seit 2001 als geknakt! 2011 wurde er jedoch aufgrund der Beast-Attacke auf die in TLS verwendeten Blockchiffren wieder empfohlen. 2013 wurde dann allerdings an einem praktischen Einsatz seine Unzulänglichkeit bewiesen.
Dennoch wurde er von der „Internet Engineering Task Force“ erst im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten.
Dies bedeutet jedoch nicht, dass er nicht mehr eingesetzt wird…
Kompatibilität – das Unwort der Sicherheit
Kurz gesagt: RC4 und auch die alten SSL-Versionen etc. sind nicht tot zu kriegen.
Es ist zum einen der Aufwand, den jeder Betreiber scheut. Zum anderen das Nutzungsverhalten der User! Diese verwenden zum Teil steinalte Software, die die neuen Sicherheits-Features nicht beherrschen.
Fazit:
Sicherheit ist ein mühsamer Weg.
Im Umgang mit Geschäftspartnern sollte es jedoch üblich sein, diese nicht durch zu laxe Sicherheitsvorkehrungen zu gefährden.
Bild: © Carola Langer / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare