Anzeige

Anzeige

VERANSTALTUNGEN

Blockchain Summit
26.03.19 - 26.03.19
In Frankfurt, Kap Europa

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Anzeige

Anzeige

 KRACK WLAN Spionage

Quelle: Zertificon Solutions

Seit Montag ist die Sicherheitslücke KRACK in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können.

Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt.

Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

Weniger beachtet wurden bisher die Auswirkungen von KRACK auf den E-Mail-Verkehr. E-Mails sind grundsätzlich nur so sicher wie Postkarten. Wer Zugriff auf die Datenströme hat, kann E-Mails mitlesen und manipulieren. HTTPS schützt E-Mails nur beim Abruf vom Mailserver über den Browser. Für die Verschlüsselung der Verbindung zwischen Mailservern steht TLS-Verschlüsselung zur Verfügung. Dr. Burkhard Wiegel, Geschäftsführer und Gründer des Berliner E-Mail-Verschlüsselungsspezialisten Zertificon, warnt davor, bei der E-Mail-Sicherheit ausschließlich auf TLS-Verschlüsselung zu vertrauen: „Die Transportverschlüsselung TLS wird nicht flächendeckend eingesetzt. Unsere eigenen Messungen haben ergeben, dass ca. 50% der E-Mails nicht TLS verschlüsselt sind. Wenn TLS eingesetzt wird, sind dies häufig veraltete Versionen. Auch das TLS-Zertifikatsmanagement ist nicht sicher. Denn Zertifikate werden selbst ausgestellt, Prüfmechanismen werden nicht genutzt. TLS ist anfällig für „Man-in-the-middle“-Attacken.“ Dr. Wiegel sieht sogar die grundsätzliche Gefahr durch TLS viel höher als bei der Sicherheitslücke KRACK: „Für Angreifer, die in der Lage sind, KRACK auszunutzen, ist das Hacken einer TLS-Verschlüsselung gar keine Herausforderung.“

Die Bedrohung für Unternehmen ist real. Wer sich in ein Gewerbegebiet begibt oder in den Ballungsräumen der Start-up-City Berlin ein Café aufsucht, hat sehr schnell physischen Zugang zu einer großen Auswahl an Firmen-WLANs und damit gegebenenfalls zur Kommunikation ganzer Unternehmen. Die Gefährdung wird vielfach unterschätzt. Dabei gibt es vielfältige Nutzungsszenarien für die E-Mail-Ausbeute eines Werktages. Eine der derzeit gefürchtetsten Attacken auf Unternehmen ist der CEO-Fraud. Die Aufklärung der Mitarbeiter zu dieser Betrugsmasche bleibt fruchtlos, wenn der Angreifer seine Story auf der Basis intimster Firmenkommunikation konstruieren kann. Doch auch der ungewollte Know-how-Transfer, Mitarbeiterabwerbung und Erpressungsversuche aller Art basieren auf Insider-Informationen, die über den Mailverkehr leicht zu erbeuten sind.

Einzig die Kombination aus E-Mail-Signatur und E-Mail-Verschlüsselung bietet Unternehmen, deren Geschäftspartnern und Kunden Sicherheit. Die Signatur bestätigt die Unversehrtheit der E-Mail-Inhalte und ihrer Anhänge, die Verschlüsselung dagegen bewahrt die gesamten Daten vor unberechtigtem Zugriff.

Grundsätzlich sind Unternehmen und Privatpersonen gut beraten, sich beim E-Mail-Versand nicht alleine auf die Transportverschlüsselung wie WPA2 oder TLS zu verlassen. Wird nur der Übertragungsweg gesichert, bleiben die Daten darin schutzlos, wenn der sicher geglaubte Transporttunnel Lücken aufweist. Und die nächste Sicherheitswarnung kommt gewiss.

Ein großes Maß an Sicherheit sowohl für Privatnutzer als auch für Unternehmen bietet die Verschlüsselung der Inhalte. Wer seine E-Mails ende-zu-ende verschlüsselt, schützt diese unabhängig von der Sicherheit der Transportstrecke. Wenn Angreifer Zugang zum WLAN bekommen oder sich in andere Datenleitungen hacken, bleiben als Beute nur nutzlose verschlüsselte Datenpakete.

Verschlüsselung wird häufig als wenig effizient und nicht wirtschaftlich wahrgenommen. Diese Einschätzung ist veraltet. In vielen Unternehmen sind sogenannte Secure Email Gateways zur E-Mail-Verschlüsselung und -Signatur heutzutage Bestandteil der Standard IT-Infrastruktur. Diese Gateways arbeiten weitgehend automatisiert im Hintergrund, ohne dass die Mitarbeiter sich mit dem Thema Verschlüsselung beschäftigen müssen.

Um geschäftliche E-Mails auch auf Endgeräten, Servern, internen Strecken sowie im WLAN und in Mobilfunknetzen zu schützen, kann ein Secure Email Gateway zur „Organizational Ende-zu-Ende-Verschlüsselung“ erweitert werden. Mit diesem Schutzniveau wäre selbst der Bundestagshack 2015 wirkungslos geblieben und auch KRACK verliert seinen Schrecken.

Weitere Inormationen:

Zwei Whitepaper mit weiterführenden Informationen und kryptografischen Grundlagen der E-Mail-Verschlüsselung für Unternehmen gibt es auf www.zertificon.com/whitepaper. 
 

GRID LIST
Stop Hacker

Firmen müssen Hackerabwehr neu denken

Tagtäglich sind Unternehmen das Ziel von Cyberattacken. Per Schadsoftware und über…
Bank

IT-Security: Sichere Kommunikation mit der Bank

Die IT-Sicherheit von Banken lässt häufig zu wünschen übrig, schlägt…
Trojaner

Trojaner Emotet gefährlicher denn je

Die Gefahr, die von dem Trojaner Emotet ausgeht, ist noch nicht vorüber. Ganz im…
Tb W190 H80 Crop Int 435a88a9a5029a89779cc54837f4d636

Neue Adware-Kampagne: 150 Millionen Nutzer von ‚SimBad‘ betroffen

Die Sicherheitsforscher von Check Point Software Technologies Ltd. (NASDAQ: CHKP) haben…
Schwachstelle

Microsoft-Office-Schwachstelle ist Einfallstor für Cyber-Angriffe

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung…
Putzfrau

Zeit für den Frühjahrsputz in den digitalen vier Wänden

Wenn der warme Frühling kommt, nutzen viele Menschen die Zeit zum Großreinemachen. So ein…