Blogartikel zum Schlagwort Sicherheit

Wofür stehen SSL, TLS und SSH und wie werden sie zur Verschlüsselung eingesetzt?

SSL/TLS und SSH – Wieso gibt es mehrere Verschlüsselungsprotokolle?

Hackerangriffe, Datenklau, elektronische Spionage – Die Notwendigkeit von Verschlüsselung und Datensicherheit liegt auf der Hand. Es findet ein ständiger Wettlauf von Hackern und Datenschützern statt. Um unsere Daten zu schützen, gibt es mittlerweile zahlreiche Sicherheitsprotokolle. Die meisten gehen dabei auf SSL (Secure Sockets Layer) und SSH (Secure Shell) zurück.

Doch wieso gibt es mehrere Verschlüsselungsprotokolle? Welches ist wann besser und wie funktionieren sie? Diese Fragen sollen im Folgenden entschlüsselt werden.

Eine kleine Geschichtsstunde zur Verschlüsselung

Zunächst zur Unterscheidung: SSL und SSH sind jeweils Verschlüsselungsprotokolle, die Mitte der 90er Jahre entwickelt wurden. 1999 wurde SSL, mit der Version 3.1, in TLS (Transport Layer Security) umbenannt, der also die direkte Weiterentwicklung ist. Die Notwendigkeit von Sicherheitsprotokollen entstand mit dem Aufkommen der ersten Webbrowser.

Beide Varianten wurden parallel voneinander entwickelt, sind nicht miteinander verwandt und inkompatibel. Im Gegensatz zu SSL war SSH zunächst Freeware und wurde erst mit seiner Entwicklung zu proprietärer Software. Seit ihrer ersten Version wurden beide Protokolle notwendigerweise immer weiterentwickelt, da es auch stets Bestrebungen von Hackern gab und gibt, sie zu knacken.

Und wie funktioniert’s?

Die Protokolle nutzen unterschiedliche Ansätze. Vereinfacht gesagt sorgt TLS für die Verschlüsselung der Daten an sich, während SSH eine sichere Verbindung zwischen Client und Server herstellt. Dass eine TLS-Verschlüsselung vorliegt, erkennt man in der Regel daran, dass an das übliche http ein ‚s‘ für ‚secure‘ angehängt wird. Einen ausführlicheren Einblick bieten wir in unserem kreITiv-Blogartikel über Standards speziell zur Verschlüsselung von Webseiten.

Das SSL-Zertifikat kurz erklärt:

Bei SSH geht es dagegen darum, sicher auf einem Server arbeiten zu können, ohne dass Daten mitgelesen werden. Dabei wird nur das asymmetrische Public-Key-Prinzip eingesetzt. Der Server sendet zunächst seinen Public Key und der Client schickt diesen verschlüsselt zurück. Durch den passenden Private Key des Servers kann nun eine sichere Verbindung aufgebaut werden. Problematisch wird das nur, falls sich ein Proxy-Server oder eine Firewall dazwischen befindet. Doch auch für diesen Fall gibt es weiterentwickelte Protokolle.

Sicher ist sicher

Wann welches Protokoll wie genutzt wird, ist stark durch deren historische Entwicklung beeinflusst. Im Grunde erfüllen alle mit unterschiedlichen Ansätzen einen ähnlichen Zweck. Für den Endnutzer spielen diese Feinheiten in der Regel keine Rolle. Was Sie aber mitnehmen sollten, ist die grundlegende Notwendigkeit, Daten und deren Übertragung zu schützen. Durch die beständigen Entwicklungen auf dem Gebiet, sollte man sich durchgängig mit dem Thema Datensicherheit auseinandersetzen.

Wenn Sie weitergehende Beratung benötigen, dann wenden Sie sich gern an uns. Die IT-Experten der kreITiv unterstützen Sie gern beim Schutz Ihrer Daten.

UTM statt Firewall. Achten Sie bei der IT-Sicherheit auf die größere Dimension

UTM – Mehr als eine Firewall

Es gibt ein System in jedem Netzwerk, dass mehr Schläge einstecken muss als Axel Schulz, eine Phalanx, der auch Spartaner ihren Respekt erweisen müssen: die Firewall.

Sie ist das Bollwerk vor dem möglichen Übel, welches durch das offene Internet auf interne Netze zu galoppiert. Doch längst ist das Gerät, welches wir als Firewall bezeichnen, mehr geworden als der Paketfilter alter Tage. Es ist ein UTM-System!

UT-was?

UTM steht für Unified Threat Management, einfach ausgedrückt ein vollintegriertes System zum ganzheitlichen Schutz vor Bedrohungen, vornehmlich aus dem öffentlichen Netz. Mögliche Bestandteile eines solchen Systems sind:

Zusätzlich dazu stellen diese Systeme umfangreiche Möglichkeiten zur Berichterstattung (Reporting) bereit, um dem zuständigen Administrator neben dem Monitoring auch Informationen zur Auswertung an die Hand zu geben.

Kein Netzwerk ist wie das andere

Dimensionierung ist ein Thema, welches hier klar angesprochen werden sollte. Jede einzelne Komponente eines UTM-Systems benötigt Hardwareressourcen, jedes zu schützende Netzwerk hat einen individuellen Charakter.

Wie viele Mitarbeiter wählen sich extern in das Netz ein? Welches Surfverhalten legen die Mitarbeiter an den Tag? Welche Dienste sollen von innen nach draußen kommunizieren können und mit welcher Schlagzahl? Diese und weitere Punkte sind zu klären, bevor man eine Kaufentscheidung trifft.

Schutz kann auch eine Zwangsjacke sein

Nachdem technische Anforderungen geklärt wurden, gilt es solche doch sehr komplexen Systeme zu konfigurieren.

Wer hier aber gleich alle Pforten schließt, sollte bedenken, dass zu viel Sicherheit praktisch Arbeitsunfähigkeit bedeutet. Es gilt also, organisatorische Vorgaben einfließen zu lassen. Bemühen Sie zunächst das Prinzip „So viel wie nötig, so wenig wie möglich“ und tasten Sie sich danach Stück für Stück an eine für Sie passende Konfiguration heran.

Das Unified Threat Management – Es lebt!

Wenn Sie nun eine saubere Konfiguration auf einer gut bemessenen Hardware laufen haben, ist das Schlimmste, was Sie tun können, es danach unangetastet zu lassen. Neben dem täglichen Katz-und-Maus-Spiel gegen Hacker und andere Netzunholde, gibt es auch Änderungen in Ihrem Netz selbst, auf die reagiert werden sollte.

Auch gilt es konsequent zu prüfen, wer da alles von außen anklopfte und ob die ergriffenen Maßnahmen hinreichend greifen. Eine UTM ist also ein System, welches konsequenter Betrachtung und Pflege bedarf. Es ist „lebendig“.

Achten Sie bei der Absicherung der IT-Infrastruktur Ihres Unternehmens also nicht mehr nur auf das Schlagwort „Firewall“, sondern denken Sie in einer größeren Dimension. Denn auch die Bedrohungen erreichen Sie mittlerweile auf diverseren Pfaden. Für den Schutz von Systemen setzen wir daher auf das Unified Threat Management und beraten Sie dahingehend auch gern bei Ihrer IT-Konzeption.

SSL und TLS: Daten im Internet über verschlüsselte Verbindungen übertragen

Standards zur Verschlüsselung von Webseiten: SSL und TLS

Facebook plant im weiteren Verlauf des Jahres 2016 eine komplette Verschlüsselung seines Messenger Dienstes WhatsApp einzuführen. Realisiert werden soll dies über eine Ende-zu-Ende Verschlüsselung, die sämtliche versendeten Inhalte und Telefonate zwischen zwei Nutzern schützt. Das Thema Sicherheit kommt endlich also auch beim Platzhirsch der mobilen Kommunikation auf den Smartphones an.

Im www sind wir glücklicherweise schon etwas weiter, denn für Webseiten haben sich längst Standards im Bereich der Verschlüsselungstechniken, wie SSL und TLS, etabliert. Dabei handelt es sich um Protokolle, die Daten über eine verschlüsselte Verbindung mit einem öffentlichen und privaten Schlüssel im Internet übertragen. Das heißt, Informationen werden bereits vor dem Versenden ver- und erst beim Empfänger wieder entschlüsselt. Ein Abfangen der Nachricht ohne Kenntnis des Schlüssels ist daher zwecklos.

Ob eine Verbindung zwischen Anwender und Webseite auf diese Weise gesichert ist, lässt sich im Browser ganz einfach an einem Schlosssymbol in der Adresszeile sowie am „s“ im https:// in der URL der Seite erkennen.

Das SSL-Zertifikat einfach erklärt:

Der Klassiker – Die SSL-Verschlüsselung

SSL steht für Secure Sockets Layer und ist bereits seit Mitte der 90er in Browsern integriert. Die Verschlüsselung besteht zwischen einem Server und einem Client (Browser). Es handelt sich um eine Hybridform, das heißt es wird symmetrisch und asymmetrisch verschlüsselt. SSL begegnet einem als Begrifflichkeit noch heute öfter, kommt aber in seiner ursprünglichen Form nicht mehr zum Einsatz und wurde mit dem Release der Version 3.1 im Jahr 1999 in TLS umbenannt.

TLS – Sichere Datenübertragung im Internet

Bei TLS (Transport Layer Security) handelt es sich demnach um die Weiterentwicklung von SSL. Fast alle Browser setzen TLS mit RSA- und AES- oder Camellia-Verschlüsselung ein. Diese sind besonders sicher, da es sich bei RSA um ein asymmetrisches kryptografisches Verfahren handelt. AES (Advanced Encryption Standard) besitzt variable und voneinander unabhängige Block- und Schlüssellängen und Camellia ist eine symmetrische Blockverschlüsselung.

Der Markt der Webtechnologien bewegt sich langsam, doch er bewegt sich bzw. wird in Folge einer zunehmend kritischeren Sicherheitslage dazu gezwungen. In aktuelleren Browserversionen ist die veraltete SSLv2 aufgrund vieler Sicherheitslücken bereits deaktiviert und führt zu einer entsprechenden Warnung an den Nutzer. Seit Bekanntwerden von Poodle-Angriffen (Auslesen von Daten vom Client und Server) verwenden Firefox, Google Chrome und andere Browser überwiegend die TLS-Verschlüsselung.

Erweiterung mit Extended-Validation-TLS-Zertifikaten

Wie so oft wird bereits zum nächsten Schritt ausgeholt. Mit sogenannten Extended-Validation-TLS-Zertifikaten können Webseitenbetreiber die letzten Zweifel ihrer potenziellen Besucher ausräumen. Diese von Dritten ausgestellten “Zertifikate mit erweiterter Überprüfung” unterliegen strengen Vergabekriterien. Das bezieht sich vor allem auf eine genaue Überprüfung des Antragstellers durch eine Zertifizierungsstelle.

Die Vergabekriterien sind in den Richtlinien für Extended-Validation-Zertifikate spezifiziert, deren Aufstellung ein Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern übernimmt. Informationen über die genaueren Funktionsweisen von SSL, TLS oder Extended-Validation-TLS-Zertifikaten finden Sie im Wikipedia-Artikel zum Thema.

Wenn Sie eine professionelle Beratung zum Thema Verschlüsselung und Accountsicherheit auf Ihrer Webseite wünschen, zögern Sie nicht, sich noch heute über unser Kontaktformular mit den IT-Experten der kreITiv in Verbindung zu setzen.

Schutz vor Hackern, Bots und Spammern dank 10 WordPress Regeln

WordPress mit 10 einfachen Schritten sicher verwenden

Das im Jahr 2003 erschienene Blogsystem WordPress erfreut sich immer größer werdender Beliebtheit unter den Betreibern von Internetseiten. Während bis 2010 der Markt unter den Content Management Systemen noch relativ gleichmäßig aufgeteilt war, verschiebt sich das Bild seitdem immer mehr in Richtung des hochflexiblen und einfach zu bedienenden WordPress. Aktuell liegt der Anteil der auf WordPress basierenden Internetseiten laut CMScrawler.com bei weltweit 36%, während die früheren Platzhirsche Typo3 und Joomla zusammen nur noch auf einen Marktanteil von knapp 30% kommen.

WordPress und die Hacker – Mit der Bekanntheit kommt die Gefahr

Diese positive Entwicklung birgt leider auch einen entscheidenden Nachteil: Verbreitet sich ein System flächendeckend und kann sogar Konkurrenten verdrängen, so steigt es auch in der Beliebtheit bei potentiellen Hackern. Genau aus diesem Grund sollte immer auch das Thema Sicherheit bei der Verwendung von WordPress Beachtung finden.

Im Folgenden möchten wir Ihnen in zehn Punkten die elementarsten Schritte zur Erhöhung der Sicherheit für auf WordPress basierende Internetseiten näherbringen.

Zehn Faustregeln, die die Sicherheit eines WordPress Systems erhöhen

Bereits bei der Installation eines WordPress Systems gibt es einige wichtige Aspekte zu beachten. Als erstes wird der Anwender nach dem Namen der anzulegenden Datenbank gefragt. Dieser Name sollte mit Bedacht gewählt werden. Grundsätzlich sollte der Datenbankname nicht so schnell zu erraten sein; eine schlechte Wahl wäre zum Beispiel Ihr Firmenname oder gar Ihr Nachname.

Im Anschluss daran muss der Nutzername des Administrators gewählt werden. Wird dieser bei der Installation nicht geändert, so heißt der Administratorzugang immer „admin“. Genau darauf spekulieren Angreifer, welche sich bspw. über einen Brute-Force-Angriff Zutritt zum System verschaffen wollen. Dieser Grundsatz gilt natürlich nicht nur für die Wahl des Administratorzugangs, sondern für alle Benutzer eines WordPress Systems. Natürlich sollte man im Zuge dessen auch die Wahl der Passwörter genau überdenken. Je komplizierter das Passwort, desto größer wird der Aufwand, es zu erraten. Dieser Ansatz gilt ebenso für die Wahl des Datenbank-Präfixes, welches direkt nach dem Administratorzugang eingegeben werden kann.

Regel 1 – Datenbanknamen und Präfixe, sowie Benutzernamen und Passwörter mit Bedacht wählen, Benutzerpasswörter regelmäßig ändern.

Im Anschluss an diesen Schritt sollten die in der Konfigurationsdatei hinterlegten „Authentication Unique Keys and Salts“ eingetragen werden. Je komplexer diese Schlüssel gewählt werden, desto sicher sind zum Beispiel die in den Cookies abgelegten Daten.

Regel 2 – „Authentication Unique Keys and Salts“ eintragen, um die Sicherheit von Sessiondaten zu erhöhen.

In zehn Schritten zu mehr Sicherheit im WordPressDie Installation von WordPress ist damit abgeschlossen und kann nun weiter angepasst werden. Jedoch möchten wir an dieser Stelle noch einmal grundsätzlich Bezug auf die Serverkonfiguration nehmen. Ein gut konzipiertes WordPress System allein reicht heutzutage nicht aus, um Sicherheit zu gewährleisten, da auch die Konfiguration von Webservern Sicherheitslücken aufweisen kann.

Damit sind im Speziellen folgende Punkte gemeint: Dateiberechtigungen und FTP-Zugänge, Erreichbarkeit der Datenbanken von außen, Sperren von nicht benötigten Ports. All diese Schritte sollten Beachtung finden, da Sie sonst die Sicherheit Ihrer Internetseite mit einer unzureichenden Serverkonfiguration unterminieren würden.

Regel 3 – Serverkonfiguration prüfen und gegebenenfalls anpassen.

Im Anschluss daran sollte das Template ausgewählt oder auch ggf. nachinstalliert werden. Ist dieser Schritt abgeschlossen, kann die WordPress-Installation mit Inhalten gefüllt werden. Alle weiteren sicherheitsrelevanten Maßnahmen sind recht einfach erklärt.

Verwenden Sie für Ihr WordPress-System im Zweifel keine Plugins von Drittanbietern. WordPress selbst gilt als sehr sicheres System; in der Praxis zeigt sich jedoch oft folgendes Problem. Wird die Funktionalität einer WordPress-Seite mit Plugins erweitert bzw. weisen die verwendeten Plugins sicherheitstechnische Schwachstellen auf, so können Angreifer die verwendeten Plugins auslesen und genau diese Schwachstellen für einen Angriff nutzen.

Regel 4 – Verwenden Sie für Ihr WordPress-System keine Plugins von Drittanbietern.

Wurde auch dieser Aspekt beachtet, sollte sich der Anwender mit der Thematik automatischer Backups beschäftigen. In diesem Bereich gibt es unzählige Erweiterungen für WordPress. Es empfiehlt sich aus den eben beschriebenen Gründen die Verwendung offizieller Plugins. Backups sind sehr wichtig; sollte es einem Angreifer trotz aller Vorsichtsmaßnahmen gelingen, in das System einzudringen, so kann eventuell entstandener Schaden mittels Backup recht schnell wieder behoben werden.

Regel 5 – Führen Sie regelmäßig automatische oder händische Backups Ihrer Internetseite durch.

Sicherheitskopien in Form von Backups sind auch für den nächsten, wichtigen Punkt Voraussetzung. Da WordPress selbst einer stetigen Weiterentwickelung unterliegt, hat dies zur Folge, dass es in regelmäßigen Abständen Updates für das Grundsystem selbst gibt. Diese sind für die Wahrung der Sicherheit am wichtigsten. Werden Schwachstellen von den Entwicklern erkannt, so werden diese in der Regel mit genau solchen Aktualisierungen behoben. Bevor diese Updates durchgeführt werden, sollten Sie unbedingt ein Backup Ihrer Internetseite erstellen und im Anschluss alle Plugins deaktivieren. Danach kann der eigentliche Updateprozess durchgeführt werden.

Regel 6 – Führen Sie regelmäßige Updates durch.

Ein weiterer Schritt zur Erhöhung der Sicherheit ist die Verwendung sogenannter Sicherheitsplugins für WordPress selbst. Mittels solcher Plugins ist es auch für technisch weniger versierte Anwender ohne Probleme möglich, potentielle Sicherheitslücken zu erkennen. Es empfiehlt sich also unbedingt, ein solches Plugin zu nutzen und regelmäßig auszuführen. In der Praxis haben sich Plugins wie Wordfence oder auch All In One WP Security & Firewall bewährt, diese können wir Ihnen aus zahlreichen praktischen Erfahrungen heraus empfehlen.

Regel 7 – Verwenden Sie Sicherheitsplugins für Ihre WordPress Installation.

Auch der Zugang zum Backend kann mittels einer htaccess-Datei auf zum Beispiel eine Auswahl von IP-Adressen begrenzt werden. Diese Beschränkung der Erreichbarkeit des Backends ist für viele Internetseiten sicherlich eine gute Wahl. Einige Betreiber von WordPress-Seiten limitieren darüber hinaus auch die Anzahl der fehlerhaften Logins. Diese Funktionalität kann bspw. über die zuvor genannten Sicherheitsplugins leicht realisiert werden.
Regelmäßigen backuppen, zeitnahes updaten und keine Plugins von Drittanbietern

Regel 8 – Backend-Erreichbarkeit und fehlerhafte Loginversuche begrenzen.

Eine weitere Möglichkeit potentiellen Angreifern das Eindringen in ein System zu erschweren, ist das Ausblenden von WordPress-spezifischen Informationen. Damit ist nicht nur die verwendete WordPress-Version selbst gemeint, sondern auch verwendete Plugins und Templates.

Das Konzept nennt sich „Security by Obscurity“, meint also um Sicherheit durch Unklarheit, und hat das Ziel, dem Angreifer keine konkreten Informationen mehr zum verwendeten WordPress selbst aus dem Quelltext herauslesen zu lassen. Genau dieser Schritt ist oftmals das erste, was ein Angreifer durchführt. Um ein System zu knacken, muss ein Außenstehender genau wissen, welches System mit welchen Erweiterungen genutzt wird. Auch diese Funktionalität kann mittels zuvor genannter Sicherheitsplugins umgesetzt werden.

Regel 9 – WordPress-spezifische Informationen aus dem Quelltext entfernen.

Ein weiteres in der Praxis bekanntes Problem ist das Thema Spam. Dieser tritt heute nicht mehr nur in Form von E-Mails auf, sondern findet durch massenhafte Kommentare und Anfragen auch auf Internetseiten statt. Um diesem Problem Herr zu werden, empfiehlt sich die Verwendung eines Anti-Spam-Plugins. Diese fügen in der Regel Captcha-Abfragen in Formulare ein, sodass ein automatisierter Spamangriff nicht mehr möglich ist.

Regel 10 – Spam-Angriffen frühzeitig durch Verwendung von Anti-Spam-Plugins vorbeugen.

Sind alle diese Regeln beachtet worden, kann man davon ausgehen, dass die prinzipielle Sicherheit einer Internetseite gewährleistet werden kann. Realistisch betrachtet gilt jedoch auch dann die Maßgabe: „Kein System ist wirklich zu einhundert Prozent sicher“. Dies gilt natürlich auch für WordPress. Der Unterschied liegt jedoch im Detail. Präsentiert man Angreifern alle benötigten Informationen auf einem Silbertablett, um sich letztlich leichter angreifbarer zu machen, oder möchte ich genau dies verhindern?