Beiträge

Wofür stehen SSL, TLS und SSH und wie werden sie zur Verschlüsselung eingesetzt?

SSL/TLS und SSH – Wieso gibt es mehrere Verschlüsselungsprotokolle?

Hackerangriffe, Datenklau, elektronische Spionage – Die Notwendigkeit von Verschlüsselung und Datensicherheit liegt auf der Hand. Es findet ein ständiger Wettlauf von Hackern und Datenschützern statt. Um unsere Daten zu schützen, gibt es mittlerweile zahlreiche Sicherheitsprotokolle. Die meisten gehen dabei auf SSL (Secure Sockets Layer) und SSH (Secure Shell) zurück.

Doch wieso gibt es mehrere Verschlüsselungsprotokolle? Welches ist wann besser und wie funktionieren sie? Diese Fragen sollen im Folgenden entschlüsselt werden.

Eine kleine Geschichtsstunde zur Verschlüsselung

Zunächst zur Unterscheidung: SSL und SSH sind jeweils Verschlüsselungsprotokolle, die Mitte der 90er Jahre entwickelt wurden. 1999 wurde SSL, mit der Version 3.1, in TLS (Transport Layer Security) umbenannt, der also die direkte Weiterentwicklung ist. Die Notwendigkeit von Sicherheitsprotokollen entstand mit dem Aufkommen der ersten Webbrowser.

Beide Varianten wurden parallel voneinander entwickelt, sind nicht miteinander verwandt und inkompatibel. Im Gegensatz zu SSL war SSH zunächst Freeware und wurde erst mit seiner Entwicklung zu proprietärer Software. Seit ihrer ersten Version wurden beide Protokolle notwendigerweise immer weiterentwickelt, da es auch stets Bestrebungen von Hackern gab und gibt, sie zu knacken.

Und wie funktioniert’s?

Die Protokolle nutzen unterschiedliche Ansätze. Vereinfacht gesagt sorgt TLS für die Verschlüsselung der Daten an sich, während SSH eine sichere Verbindung zwischen Client und Server herstellt. Dass eine TLS-Verschlüsselung vorliegt, erkennt man in der Regel daran, dass an das übliche http ein ‚s‘ für ‚secure‘ angehängt wird. Einen ausführlicheren Einblick bieten wir in unserem kreITiv-Blogartikel über Standards speziell zur Verschlüsselung von Webseiten.

Das SSL-Zertifikat kurz erklärt:
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Bei SSH geht es dagegen darum, sicher auf einem Server arbeiten zu können, ohne dass Daten mitgelesen werden. Dabei wird nur das asymmetrische Public-Key-Prinzip eingesetzt. Der Server sendet zunächst seinen Public Key und der Client schickt diesen verschlüsselt zurück. Durch den passenden Private Key des Servers kann nun eine sichere Verbindung aufgebaut werden. Problematisch wird das nur, falls sich ein Proxy-Server oder eine Firewall dazwischen befindet. Doch auch für diesen Fall gibt es weiterentwickelte Protokolle.

Sicher ist sicher

Wann welches Protokoll wie genutzt wird, ist stark durch deren historische Entwicklung beeinflusst. Im Grunde erfüllen alle mit unterschiedlichen Ansätzen einen ähnlichen Zweck. Für den Endnutzer spielen diese Feinheiten in der Regel keine Rolle. Was Sie aber mitnehmen sollten, ist die grundlegende Notwendigkeit, Daten und deren Übertragung zu schützen. Durch die beständigen Entwicklungen auf dem Gebiet, sollte man sich durchgängig mit dem Thema Datensicherheit auseinandersetzen.

Wenn Sie weitergehende Beratung benötigen, dann wenden Sie sich gern an uns. Die IT-Experten der kreITiv unterstützen Sie gern beim Schutz Ihrer Daten.

Datenträgerverschlüsselung für Notebooks und Wechseldatenträger

Datenträgerverschlüsselung für Notebooks und Festplatten

Trotz der zunehmenden Virtualisierung von IT-Ressourcen hantieren wir im Büroalltag auch heute noch mit einer ganzen Bandbreite an unterschiedlichsten Hardware-Klassen. Auch und gerade hier ist für Unternehmen die Verschlüsselung ein brisanter Themenkomplex, da Daten eben nicht nur auf digitalem Wege, sondern auch mitsamt ihrer physischen Datenträger entwendet werden können.

Wieso sollte man verschlüsseln?

In der Regel sind private, aber vor allem geschäftliche Daten vertraulich und sollten nicht in fremde Hände fallen. Wenn nun ein Datenträger, wie ein USB-Stick oder eine externe Festplatte, verloren geht oder ein Notebook gestohlen wird, hat der neue Besitzer normalerweise vollen Zugriff auf alle darauf enthaltenen Daten. Um dies zu verhindern, sollte man im Rahmen von Unternehmensrichtlinien alle Wechseldatenträger sowie mobilen Endgeräte wie Notebooks und Tablets sicher verschlüsseln.

Damit ist sichergestellt, dass nur berechtige Personen auf die Daten zugreifen können. Dies hat auch Vorteile für den firmeninternen Gebrauch, denn nicht jeder Mitarbeiter soll Zugriff auf alle Daten bekommen (Vertraulichkeit). Gleichzeit können Daten damit vor unberechtigter Veränderung und Manipulationen geschützt werden (Integrität). Diese beiden Begriffe sind zwei Grundpfeiler der Informationssicherheit.

Womit kann man verschlüsseln?

Die einfachste Möglichkeit zur Verschlüsselung von Datenträgern bringt das Betriebssystem Windows bereits selbst mit: Das Sicherheitsfeature Bitlocker ist in den Ultimate- und Enterprise-Versionen von Windows Vista und Windows 7, sowie den Pro- und Enterprise-Versionen von Windows 8, Windows 8.1 und Windows 10 bereits enthalten. Allerdings wird erst ab Version 7 die Verschlüsselung von USB-Medien unterstützt.

Welche Werkzeuge zur Verchlüsselung gibt es?

Tools zur Datenträgerverschlüsselung – Bitlocker, TrueCrypt und VeraCrypt

Bitlocker gilt prinzipiell als sicher, allerdings geben Fachleute zu bedenken, dass es sich um proprietäre Software handelt, bei der der Quellcode vom Hersteller nicht veröffentlicht wird. Deshalb kann die Sicherheit von unabhängigen Experten nicht komplett eingeschätzt werden und Hintertüren könnten möglicherweise vorhanden sein. Diese könnten vom Hersteller selbst oder von kooperierenden Behörden ausgenutzt werden.

Aus diesem Grund erfreut sich eine Software aus dem Open-Source-Bereich großer Beliebtheit: TrueCrypt. Diese Software hat immer noch eine große Fangemeinde, auch wenn sie inzwischen nicht mehr weiterentwickelt wird. Dennoch hat ein ausführlicher Audit der Version 7.1a durch das Open Crypto Audit Project (OCAP) im April 2015 TrueCrypt als relativ sicher eingestuft. Es wurden zwar Schwachstellen gefunden, diese sind allerdings für die meisten Nutzer nicht relevant.

Als Nachfolger von TrueCrypt präsentiert sich die Software VeraCrypt. Hierzu ist zwar aktuell noch kein entsprechendes Audit vorhanden, allerdings wird die Software von einer Community gepflegt und weiterentwickelt. Dies hat langfristig den Vorteil, dass bekannte Sicherheitslücken soweit möglich geschlossen werden. Die Oberfläche und der Leistungsumfang entsprechen weitestgehend dem von TrueCrypt.

Wie wird verschlüsselt?

Egal, für welche Software Sie sich entscheiden, jede Verschlüsselung ist natürlich besser als gar keine Verschlüsselung und in der Praxis arbeiten die Programme sehr ähnlich. Die Verschlüsselung erfolgt in der Regel durch das symmetrische Verfahren AES mit einer Schlüssellänge von 256-bit. Verschlüsseln kann man damit ganze Systemlaufwerke von PCs und Notebooks sowie externe USB-Datenträger wie Sticks, Festplatten und SSDs. Mit TrueCrypt und VeraCrypt kann man außerdem verschlüsselte Container erstellen, welcher als einzelne Datei eine beliebige Anzahl an Daten enthalten können.

Für die Zugriffskontrolle auf die verschlüsselten Daten gibt es mehrere Authentisierungsmöglichkeiten, welche auch kombiniert werden können:

  • Die gängigste Möglichkeit für den Zugriff ist die Vergabe eines Passwortes oder einer PIN.
  • Des Weiteren kann eine Schlüsseldatei erzeugt werden, welche dann z.B. auf einem angeschlossenen USB-Stick vorhanden sein muss, um Zugriff zu bekommen.
  • Bitlocker kann zur Verifizierung außerdem die Existenz eines eingebauten TPM-Chips (Trusted Platform Module) prüfen. Wird eine Festplatte aus dem ursprünglichen Rechner ausgebaut, ist somit kein Zugriff mehr möglich.

Wenn für Sie noch Fragen zum Thema Informationssicherheit offen sind oder Sie eine individuelle Beratung dazu wünschen, dann wenden Sie sich gern an das Team der kreITiv.

SSL und TLS: Daten im Internet über verschlüsselte Verbindungen übertragen

Standards zur Verschlüsselung von Webseiten: SSL und TLS

Facebook plant im weiteren Verlauf des Jahres 2016 eine komplette Verschlüsselung seines Messenger Dienstes WhatsApp einzuführen. Realisiert werden soll dies über eine Ende-zu-Ende Verschlüsselung, die sämtliche versendeten Inhalte und Telefonate zwischen zwei Nutzern schützt. Das Thema Sicherheit kommt endlich also auch beim Platzhirsch der mobilen Kommunikation auf den Smartphones an.

Im www sind wir glücklicherweise schon etwas weiter, denn für Webseiten haben sich längst Standards im Bereich der Verschlüsselungstechniken, wie SSL und TLS, etabliert. Dabei handelt es sich um Protokolle, die Daten über eine verschlüsselte Verbindung mit einem öffentlichen und privaten Schlüssel im Internet übertragen. Das heißt, Informationen werden bereits vor dem Versenden ver- und erst beim Empfänger wieder entschlüsselt. Ein Abfangen der Nachricht ohne Kenntnis des Schlüssels ist daher zwecklos.

Ob eine Verbindung zwischen Anwender und Webseite auf diese Weise gesichert ist, lässt sich im Browser ganz einfach an einem Schlosssymbol in der Adresszeile sowie am „s“ im https:// in der URL der Seite erkennen.

Das SSL-Zertifikat einfach erklärt:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Der Klassiker – Die SSL-Verschlüsselung

SSL steht für Secure Sockets Layer und ist bereits seit Mitte der 90er in Browsern integriert. Die Verschlüsselung besteht zwischen einem Server und einem Client (Browser). Es handelt sich um eine Hybridform, das heißt es wird symmetrisch und asymmetrisch verschlüsselt. SSL begegnet einem als Begrifflichkeit noch heute öfter, kommt aber in seiner ursprünglichen Form nicht mehr zum Einsatz und wurde mit dem Release der Version 3.1 im Jahr 1999 in TLS umbenannt.

TLS – Sichere Datenübertragung im Internet

Bei TLS (Transport Layer Security) handelt es sich demnach um die Weiterentwicklung von SSL. Fast alle Browser setzen TLS mit RSA- und AES- oder Camellia-Verschlüsselung ein. Diese sind besonders sicher, da es sich bei RSA um ein asymmetrisches kryptografisches Verfahren handelt. AES (Advanced Encryption Standard) besitzt variable und voneinander unabhängige Block- und Schlüssellängen und Camellia ist eine symmetrische Blockverschlüsselung.

Der Markt der Webtechnologien bewegt sich langsam, doch er bewegt sich bzw. wird in Folge einer zunehmend kritischeren Sicherheitslage dazu gezwungen. In aktuelleren Browserversionen ist die veraltete SSLv2 aufgrund vieler Sicherheitslücken bereits deaktiviert und führt zu einer entsprechenden Warnung an den Nutzer. Seit Bekanntwerden von Poodle-Angriffen (Auslesen von Daten vom Client und Server) verwenden Firefox, Google Chrome und andere Browser überwiegend die TLS-Verschlüsselung.

Erweiterung mit Extended-Validation-TLS-Zertifikaten

Wie so oft wird bereits zum nächsten Schritt ausgeholt. Mit sogenannten Extended-Validation-TLS-Zertifikaten können Webseitenbetreiber die letzten Zweifel ihrer potenziellen Besucher ausräumen. Diese von Dritten ausgestellten “Zertifikate mit erweiterter Überprüfung” unterliegen strengen Vergabekriterien. Das bezieht sich vor allem auf eine genaue Überprüfung des Antragstellers durch eine Zertifizierungsstelle.

Die Vergabekriterien sind in den Richtlinien für Extended-Validation-Zertifikate spezifiziert, deren Aufstellung ein Zusammenschluss von Zertifizierungsstellen und Browser-Herstellern übernimmt. Informationen über die genaueren Funktionsweisen von SSL, TLS oder Extended-Validation-TLS-Zertifikaten finden Sie im Wikipedia-Artikel zum Thema.

Wenn Sie eine professionelle Beratung zum Thema Verschlüsselung und Accountsicherheit auf Ihrer Webseite wünschen, zögern Sie nicht, sich noch heute über unser Kontaktformular mit den IT-Experten der kreITiv in Verbindung zu setzen.

Im kreITiv Blog stellen wir verschiedene Arten von VPNs vor

VPN-Tunnel – Ein sicherer Weg zum Fernzugriff

Wer in der heutigen Zeit von unterwegs, zu Hause, oder aus einer Filiale Zugriff auf Daten seines Unternehmens benötigt, kommt nicht daran vorbei, sich im Besonderen über das Thema IT-Sicherheit Gedanken zu machen.

Sichere Verbindungen dank VPN-Lösungen

Der wirksamte Schutz vor Einsicht und Änderung von Daten seitens Dritter ist eine gesicherte Verbindung zwischen den Endpunkten mittels einer Lösung via Virtual Private Network. Doch ist ein solches VPN nicht immer gleich VPN: Es gibt verschiedene Arten von gesicherten Verbindungen. Diese unterscheiden sich durch den Endpunkttyp, das angewandte Authentifizierungsverfahren, sowie durch Typ und Stärke ihrer Verschlüsselung.

I. Der Endpunkttyp

Es wird zunächst in die beiden Kategorien „Site“ und „End“ und damit zwei mögliche Verbindungen unterschieden: „Site-to-Site” und „End-to-Site“.

Als „Site“ wird ein ganzes Netzwerk bezeichnet. Endpunkttyp ist hier in der Regel der Internet-Router, die Internet-Firewall oder ein separater VPN-Router. Ein Benutzer kann intern auf die Ressourcen im Netzwerk zugreifen, muss keine eigene gesicherte Verbindung zu seinem Ziel aufbauen und bekommt von der verwendeten Technik im Grunde nichts mit. Nachteilig sind allerdings die – wenn auch vergleichsweise geringen – Kosten für die benötigte Hardware und natürlich die Standortabhängigkeit.

Beim „End“ spricht man von einem einzelnen Endpunkt bzw. einem Endgerät. Von diesem Gerät aus verbindet sich der angemeldete Benutzer manuell mit einem entfernten Netzwerk, also einer „Site“. Von Vorteil ist an dieser Stelle die ermöglichte Mobilität des Nutzers sowie der Kostenfaktor (auf dem zugreifenden Gerät muss lediglich eine VPN-Software eingerichtet werden). Ein Nachteil liegt in dem Umstand, dass der Benutzer diese Verbindung aktiv aufbauen und mit dafür der Bedienung der Software vertraut sein muss, um an Unternehmensdaten heranzukommen.

II. Das Authentifizierungsverfahren

Mittels VPN greifen Geräte aus der Ferne auf Unternehmensressourcen zu

Das VPN-Prinzip. Sicher und verlässlich auf Unternehmensressourcen zugreifen.
Bildquelle: Ludovic.ferre via Wikimedia Commons (CC BY-SA 4.0)

Das Authentifizierungsverfahren dient der Feststellung, ob wahlweise der anzumeldende Benutzer oder die Site derjenige ist, der er vorgibt zu sein. Verwendet werden hierfür ein Passwort (auch Pre-Shared-Key PSK) oder ein wesentlich sichereres Zertifikat.

Es sollte dafür Sorge getragen sein, dass auch die Authentifizierung selbst verschlüsselt erfolgt, damit nicht bereits an dieser Stelle ein Dritter in das System gelangen kann. Als unsicher gilt bspw. das unverschlüsselte Password Authentication Protocol PAP. Wir raten stattdessen zu einer Verwendung des Extensible Authentication Protocol EAP, das eine Verschlüsselung durch Erweiterungen erhält. Speziell EAP-TTLS und PEAP arbeiten bereits von Beginn der Verbindung an mit Verschlüsselungsalgorithmen und machen es Dritten damit extrem schwer, an die begehrten Anmeldedaten heranzukommen.

III. Der Verschlüsselungstyp

Letztendlich sind für die Sicherheit der Verbindung selbst nur noch der Verschlüsselungstyp und dessen Stärke verantwortlich.

Während ältere Verschlüsselungsverfahren wie PPTP („Point-to-Point-Tunneling-Protocol“, 1996 entwickelt) mittlerweile als unsicher gelten und daher nicht mehr verwendet werden sollten, gibt es mit SSL-VPN und IPsec zwei empfehlenswerte Alternativen, die den sicherheitstechnischen Anforderungen der heutigen Zeit gerecht werden..

SSL-VPN lässt sich als kleines kompatibles Pendant ansehen, das selbst hinter einer Firewall und einem eingeschränkt konfigurierten Internet-Router mit NAT („Network Address Translation“) noch lauffähig ist. Es baut auf dem Prinzip einer verschlüsselten Webseite auf und lässt sich daher nicht tunneln. Aus diesem Grund eignet sich SSL-VPN ausschließlich für End-to-Site-Verbindungen.

Mit IPsec lassen sich VPN-Verbindungen mit besonders hohen Anforderungen an die Sicherheit realisieren. Es handelt sich um eine Erweiterung des Internet-Protokolls und besteht aus den folgenden Grundsätzen:

  • Verschlüsselung
  • Kryptografischer Schutz der zu übertragenden Daten
  • Datenintegrität
  • Authentisierung des Absenders
  • Zugangskontrolle
  • Authentifizierung von Verschlüsselungs-Schlüsseln
  • Verwaltung von Verschlüsselungs-Schlüsseln

VPN als Maßnahme im Gesamtpaket der IT-Sicherheit

Eine VPN-Absicherung allein ist dabei ausdrücklich nicht als Garantie vor der Ausspähung von Daten zu verstehen. Es sollte als Maßnahme immer in ein abgestimmtes System zur IT-Sicherheit eingebettet sein.

Stehen auch Sie vor der Herausforderung, von unterschiedlichen Standorten sicher auf Ihre Unternehmensressourcen zugreifen zu müssen? Das Team der kreITiv berät Sie gern bei der Planung und Umsetzung eines individuellen IT-Konzepts.