DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Warum auch KMU auf Zer­ti­fikate setzen sollten

Nahezu alle Unter­nehmen arbeiten heute stand­ort­über­greifend und über das öffent­liche Internet mit­ein­ander ver­bunden. Zur Absi­cherung der Kom­mu­ni­kation wurden im Laufe der Jahre wirksame Ver­schlüs­se­lungs­tech­niken ent­wi­ckelt und ver­feinert. Bei einer Stand­ort­ver­netzung via VPN-Tunnel gilt gemeinhin das IPsec Pro­tokoll als besonders robust und sicher. Es handelt sich hierbei um eine Erwei­terung des Internet-Pro­­­to­­kolls (IP) um Ver­­­schlüs­­se­­lungs- und Authen­ti­fi­zie­rungs­me­cha­nismen, mit deren Hilfe IP-Pakete kryp­to­gra­fisch gesi­chert über öffent­liche, unsi­chere Netze trans­por­tiert werden können. IPsec wurde von der Internet Engi­neering Task Force (IETF) als inte­graler Bestandteil von IPv6 ent­wi­ckelt und nach­träglich für IPv4 ange­passt.

Der Auf­schrei der Fachwelt und der Wirt­schaft war dem­entspre­chend groß, als Ende 2014 behauptet wurde, dass dieses bisher als unan­greifbar und sicher gel­tenden VPN Pro­tokoll durch die NSA geknackt worden sei. Erleich­terung machte sich breit, als sich die Behauptung schnell als unwahr her­aus­stellte. Durch man­gelnde Fach­kenntnis und lai­en­hafte Bericht­erstattung über dieses kom­plexe Thema kam es zu dieser – fatalen! – Fehl­in­for­mation. Dennoch arbeitet die NSA laut eines Artikels auf Spiegel Online über neue Snowden-Doku­­mente zu Angriffs­me­thoden der NSA wohl schon seit Jahren daran, in sichere VPN Ver­bin­dungen ein­zu­dringen und konnte schon ver­einzelt Erfolge verzeichnen.

So viel jeden­falls steht fest: bisher ist es der NSA trotz inten­siver Bemü­hungen nicht gelungen, die IPSec-Ver­­­schlüs­­selung zu knacken. Durch alter­native Angriffs­me­thoden wie gestohlene Schlüssel und brute-force Attacken ver­sucht sie jedoch wei­terhin in die getun­nelten Ver­bin­dungen einzudringen.

Die Achil­les­ferse von VPN-Ver­­­bin­­dungen ist – wie in so vielen Bereichen der IT-Sicherheit – eine unsi­chere Pass­wort­vergabe. Eine Methode, um die eigent­lichen Schlüssel für die Ver­schlüs­selung der Daten aus­zu­handeln, sind soge­nannte Pre-Shared-Keys (PSK). Diese kommen häufig in kleinen und mitt­leren Unter­nehmen zum Einsatz, da sie sehr einfach ein­zu­richten und kos­ten­günstig zu ver­walten sind. Die Gefahr liegt jedoch in diesen Pass­wörtern selbst: je ein­facher sie sind, desto größer ist das Risiko, dass sie erraten werden.

Zer­ti­fikate versus Passwörter

Aber wie kann man sich dagegen schützen? Lange, kom­plexe Pass­wörter sind ein Anfang und bieten ein Min­destmaß an Sicherheit. Ein sicheres Passwort sollte min­destens zwölf Zeichen lang sein und Groß‑, Klein­buch­staben sowie Son­der­zeichen und Ziffern ent­halten. Wörter aus einem Wör­terbuch sollten genauso ver­mieden werden wie gängige Tas­­tatur- oder Wie­der­ho­lungs­muster wie „1234abcd“ oder „asdfgh“.

Zum anderen gibt es neben der Methode mit Pre-Shared-Keys auch die Mög­lichkeit, ver­trau­ens­würdige Zer­ti­fikate von einer öffent­lichen Zer­ti­fi­zie­rungs­stelle, einer soge­nannten Cer­ti­ficate Aut­hority (CA) zu beziehen. Durch das soge­nannte Schlüssel-Schloss-Prinzip sind Zer­ti­fikate um ein Viel­faches sicherer als Pass­wörter und können pro End­gerät ein­deutig ver­geben werden. Ein wei­terer Vorteil ist, dass ver­gebene Zer­ti­fikate im Notfall zurück­ge­zogen werden können.

In grö­ßeren Unter­nehmen mit haus­ei­genen Sicher­heits­ex­perten nutzt man daher schon jah­relang digitale Zer­ti­fikate zur VPN-Schlüs­­sel­aus­handlung um sich gegen poten­tielle Angreifer zu schützen und um Brute-Force-Attacken aus­zu­schließen. Jedoch ist der Weg hin zu einem Zer­­ti­­fikat-basierten VPN lang­wierig und mit zusätz­lichen Kosten ver­bunden – oft für kleinere Unter­nehmen kaum zu bewerk­stel­ligen. Dies sind nur ein paar Gründe dafür, weshalb Zer­­ti­­fikat-basierte VPNs im Mit­tel­stand bisher eher zurück­haltend genutzt werden.

Genau hier setzt eine Neu­ent­wicklung an, mit der sich LANCOM Systems in den ver­gan­genen Monaten intensiv beschäftigt hat. Die Grundlage ist eine in die VPN-Router direkt inte­grierte Ver­ga­be­stelle für Zer­ti­fikate (CA), mit der sich in nur wenigen Schritten hoch­si­chere Zer­ti­fikate erstellen lassen, ohne den Dienst einer externen CA in Anspruch zu nehmen oder kom­pli­zierte Erstel­lungs­ver­fahren durch­laufen zu müssen. Der Sys­tem­ad­mi­nis­trator kann mit wenigen Schritten selbst digitale Zer­ti­fikate erstellen und diese ver­walten. Über das Simple Cer­ti­ficate Enrollment Pro­tocol (SCEP) können Zer­ti­fikate auto­ma­tisch an Router-ver­­­geben werden, noch bevor der VPN-Tunnel auf­gebaut ist.

Wegen der Zer­ti­fi­kats­hoheit auf Seiten der Admi­nis­tra­toren liegt die Basis  — aber auch die Ver­ant­wortung — für eine ver­schlüs­selte Kom­mu­ni­kation in den eigenen Händen. Es gibt keine Abhän­gig­keiten von Dritt­an­bietern und tie­fer­ge­hendes Knowhow ist nicht erfor­derlich. Das bedeutet: Ein Höchstmaß an Sicherheit für den Mit­tel­stand. Zumindest im Bereich der stand­ort­über­grei­fenden Kom­mu­ni­kation haben Geheim­dienste, Wirt­schafts­spione und Cyber­kri­mi­nelle kaum einen Mög­lichkeit mehr mitzulesen.

Bild:  © Günther_Menzl / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Eckhart Traber, LANCOM Systems

Eckhart Traber beschäftigt sich seit 1985 mit Com­putern und Netz­werken. Nach unter­schied­lichen Berufs­sta­tionen war der stu­dierte Elektro-Inge­nieur von 1995 bis 2000 als Redakteur und Test­labor-Leiter beim Fach­ma­gazin „PC Pro­fes­sionell“ tätig. Danach wurde er Pres­se­sprecher bei der ELSA AG und ist seit der Gründung der LANCOM Systems GmbH in 2002 als Pres­se­sprecher für den Netz­werk­her­steller tätig. Er ist Autor zahl­reicher Fachartikel.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.