Transport-Layer-Security – der Mindeststandard TLS 1.2 sollte höchste Priorität haben

Die Erfindung des Internets veränderte die Art zu kommunizieren und Daten zu übertragen grundlegend. Aber nicht alles, was fortschrittlich ist, ist vorteilhaft: Mit den gebotenen Möglichkeiten schwingen gerade im Bereich Sicherheit zahlreiche Herausforderungen mit, die es zu überwinden gilt. Schließlich können Technologien auch zum Nachteil anderer genutzt werden. Dieses Risiko steigt, je mehr Daten hin und her gesendet werden. Für Unternehmen und Institutionen gilt es, tunlichst zu verhindern, dass auf dem digitalen Weg sensible Daten in die falschen Hände gelangen.

Eine der Technologien, die in den 1990er-Jahren zur Bekämpfung von IT-Angriffen entwickelt wurde, ist das kryptografische Verschlüsselungsprotokoll. Am verbreitetsten in der Anwendung sind dabei nach wie vor Secure-Socket-Layer (SSL), was mittlerweile als veraltet gilt, sowie Transport-Layer-Security (TLS), von dem vor einigen Jahren bereits die 3. Version erschienen ist.

Im Folgenden wird der Blick auf diese Erfindungen sowie die Unterschiede zwischen den Varianten gelenkt, um die Dringlichkeit zu unterstreichen, mit der es Updates vorzunehmen gilt.

 

Am Anfang war SSL

Als im Jahr 1995 das World-Wide-Web noch kaum für die Allgemeinheit verfügbar war, stand das Thema Cybersicherheit bereits auf der Agenda. Der Software-Konzern Netscape veröffentlichte mit SSL 2.0 die erste Methode zur Datenverschlüsselung. Die Vorgängerversion wurde aufgrund von Systemfehlern nicht auf den Markt gebracht. SSL 3.0 wurde hingegen für nahezu 20 Jahre der Standard.

Während die Technik voranschritt, lernten auch Cyberkriminelle dazu. Ein Security-Team bei Google fand 2014 eine signifikante Sicherheitslücke in SSL 3.0, die eine zeitnahe Lösung erforderlich machte. Daraus entwickelte sich Transport-Layer-Security (TLS), ein völlig neuer Ansatz für Verschlüsselung.

 

Eine neue Ära mit TLS

Obwohl TLS eigentlich nur als Erweiterung des SSL-Systems geplant war, entwickelte sich die Technologie zu etwas so Singulärem, dass man sich für eine eigene Betitelung entschied. Auf die Ursprungsversion folgte schnell ein Update mit dem Namen 1.1, das weniger Angriffsmöglichkeiten bot. Dieses Verschlüsselungsprotokoll wurde für einige Jahre verwendet, bis sich die Nutzung moderner kryptografischer Algorithmen so sehr verbreitete, dass ein weiterer Nachfolger notwendig wurde.

 

Bessere Performance und mehr Security

2008 folgte TLS 1.2 mit einem gesteigerten Angebot an Leistung, Sicherheit und Zuverlässigkeit, indem das System eine Kombination aus asymmetrischer und symmetrischer Kryptographie anwendet.

TLS 1.2 verwendet einen einzigen Hash, was die MD5/SHA-1-Kombination im digital signierten Element verzichtbar macht. Zeitgleich lassen sich die Algorithmen für diesen Hash sowie die Signatur einfacher bestimmen, sowohl auf Client- als auch auf Server-Seite. Zudem ist die Version besser mit Authentifizierungsverschlüsselung, AES-Chiffre-Suiten und Erweiterungen kompatibel. Dies bietet deutliche Vorteile gegenüber allen Vorgängerversionen. Trotzdem geht die Suche nach dem sichersten Verschlüsselungssystem stetig weiter.

So hat 2018 die Internet Engineering Task Force (IETF) TLS 1.3 herausgebracht. Die Version erhöhte wiederum Sicherheit und Performance, indem die TLS-Handshakes schneller wurden. Darüber hinaus wurden veraltete Chiffriersuiten wie die des RSA-Schlüsselaustauschalgorithmus, der RC4-Stream-Chiffre oder der CBC-Modus-Chiffre entfernt. Dadurch erleichtert sich auch der Konfigurationsprozess.

 

Die Relevanz des Upgradens

Mit obengenannter Begründung wird schnell ersichtlich, dass TLS 1.3 die heutzutage sicherste Wahl für Datenverschlüsselung ist. Deshalb erstaunt es, dass noch viele Anwender den Vorgänger 1.2 nutzen. Die Versionen 1.0 und 1.1 werden seit Ende letzten Jahres nicht mehr unterstützt, was zur Folge hat, dass Websites, die TLS 1.2 und höher nicht unterstützten, keine sicheren Verbindungen mehr herstellen können. Versucht man diese mit einem gängigen Browser zu öffnen, erscheint die Fehlermeldung „Sichere Verbindung fehlgeschlagen“. So werden auch Onlineanbieter, die Kreditkartenzahlung anbieten, zur Verwendung von mindestens TLS 1.2 gezwungen, sofern sie PCI-konform bleiben wollen.

Der Großteil aller Websites unterstützt diesen Standard bereits, sodass vom Wegfall der vorherigen Verschlüsselungsprotokoll-Versionen eher wenig zu spüren war. Trotzdem existieren noch einige Websites, die noch nicht auf TLS 1.2 aufgerüstet haben. Durch diese Verzögerung entsteht ein erhebliches Risiko für die Seitenbetreiber und ihre Kunden. Das Upgrade stellt nicht nur den nächsten Schritt in einer längeren Historie aus Protokollen da, sondern ist als Lösung für ernstzunehmende Security-Bedrohungen anzusehen. Nicht zuletzt steigt die Anzahl an Sicherheitsangriffe weltweit zunehmend an. Insbesondere die 1.0 und 1.1-Varianten wurden zuletzt anfällig für unterschiedliche fortgeschrittene kryptografische Bedrohungen, etwa BEAST oder POODLE. Diese beiden Arten von Bedrohungen nutzen Schwachstellen aus, um sensible Daten zu extrahieren, und sind nur zwei Beispiele für aktuelle Gefahren für Unternehmen aus der Welt der Cyberkriminalität, wenn sie das Upgrade auf TLS 1.2 verzögern.

Webseiten, die nicht 1.2-konform sind, erhalten zudem bedeutende Traffic-Verluste, weil die oben erwähnte Fehlermeldung meist mit einem verwehrten Zugriff auf Seiteninhalte einhergeht. Deshalb wirken sich veraltete Lösungen nicht nur in Form von Sicherheitsmängeln aus, sondern auch auf die Reputation eines Unternehmens: Eine Fehlermeldung auf der Unternehmenswebseite führt unweigerlich zu einem Glaubwürdigkeitsverlust, was auf potenzielle Kunden abschreckend wirkt. Außerdem werden schlechtere Platzierungen in Google-Suchergebnissen mit der Verwendung veralteter Verschlüsselungsprotokolle in Verbindung gebracht, weshalb auch aus SEO-Sicht das Update lohnt.

 

Fazit: Mit Plan in Richtung TLS 1.2

Ali Moniri, Senior Presales Engineer bei Gigamon Deutschland

Grundsätzlich gibt es keinen standardisierten Weg zur Kompatibilität von TLS 1.2. Der Prozess kann je nach verwendeter Plattform und Software im Schwierigkeitsgrad variieren. Schritt eins ist deshalb die Aktualisierung sämtlicher Systeme. Empfehlenswert ist eine Überprüfung von Online-Shops, Zahlungs-Gateways, Altsystemen und nicht zuletzt jedweder lokaler Software, um Schwachstellen aufzudecken. TLS 1.2 sollte vor allem für Internet-Informationsdienste, Webserver und Net-Frameworks eingeführt werden, während externe E-Commerce-Lösungen meist schon upgegradet wurden.

Zusätzlich anzuraten ist eine enge Zusammenarbeit von DevOps- und IT-Sec-Teams, um einen detaillierten Migrationsplan zu erstellen. Das Aufrüsten zu TLS 1.2 ist in der heutigen Zeit schlichtweg unerlässlich, aber für den bestmöglichen Schutz empfiehlt sich eine Umstellung auf TLS 1.3. Weiterhin sollte die TLS-Software turnusmäßig gepatcht und aktualisiert werden, um zwischenzeitlich entdeckte Sicherheitslücken zu schließen und Bedrohungen abzuwehren.

Letztlich bleibt das Spiel mit Cyberkriminellen bestehen: Sie werden neue Wege finden, um ihre Ziele zu erreichen. Das bedeutet für Unternehmen aber keinesfalls, dass sie kampflos aufgeben sollten: Eine durchdachte Einführung auf mindestens TLS 1.2 ist eine effektive Lösung, um das Unternehmen und deren Partner sowie Kunden vor Angriffen auf ihre Daten zu bewahren.

Von Ali Moniri, Senior Presales Engineer bei Gigamon Deutschland