SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

BIG DATA Marketing Day
27.02.18 - 27.02.18
In Wien

AUTOMATE IT 2018
01.03.18 - 01.03.18
In Hamburg, Schwanenwik 38

DIGITAL FUTUREcongress
01.03.18 - 01.03.18
In Frankfurt, Messe

 KRACK WLAN Spionage

Quelle: Zertificon Solutions

Seit Montag ist die Sicherheitslücke KRACK in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können.

Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt.

Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

Weniger beachtet wurden bisher die Auswirkungen von KRACK auf den E-Mail-Verkehr. E-Mails sind grundsätzlich nur so sicher wie Postkarten. Wer Zugriff auf die Datenströme hat, kann E-Mails mitlesen und manipulieren. HTTPS schützt E-Mails nur beim Abruf vom Mailserver über den Browser. Für die Verschlüsselung der Verbindung zwischen Mailservern steht TLS-Verschlüsselung zur Verfügung. Dr. Burkhard Wiegel, Geschäftsführer und Gründer des Berliner E-Mail-Verschlüsselungsspezialisten Zertificon, warnt davor, bei der E-Mail-Sicherheit ausschließlich auf TLS-Verschlüsselung zu vertrauen: „Die Transportverschlüsselung TLS wird nicht flächendeckend eingesetzt. Unsere eigenen Messungen haben ergeben, dass ca. 50% der E-Mails nicht TLS verschlüsselt sind. Wenn TLS eingesetzt wird, sind dies häufig veraltete Versionen. Auch das TLS-Zertifikatsmanagement ist nicht sicher. Denn Zertifikate werden selbst ausgestellt, Prüfmechanismen werden nicht genutzt. TLS ist anfällig für „Man-in-the-middle“-Attacken.“ Dr. Wiegel sieht sogar die grundsätzliche Gefahr durch TLS viel höher als bei der Sicherheitslücke KRACK: „Für Angreifer, die in der Lage sind, KRACK auszunutzen, ist das Hacken einer TLS-Verschlüsselung gar keine Herausforderung.“

Die Bedrohung für Unternehmen ist real. Wer sich in ein Gewerbegebiet begibt oder in den Ballungsräumen der Start-up-City Berlin ein Café aufsucht, hat sehr schnell physischen Zugang zu einer großen Auswahl an Firmen-WLANs und damit gegebenenfalls zur Kommunikation ganzer Unternehmen. Die Gefährdung wird vielfach unterschätzt. Dabei gibt es vielfältige Nutzungsszenarien für die E-Mail-Ausbeute eines Werktages. Eine der derzeit gefürchtetsten Attacken auf Unternehmen ist der CEO-Fraud. Die Aufklärung der Mitarbeiter zu dieser Betrugsmasche bleibt fruchtlos, wenn der Angreifer seine Story auf der Basis intimster Firmenkommunikation konstruieren kann. Doch auch der ungewollte Know-how-Transfer, Mitarbeiterabwerbung und Erpressungsversuche aller Art basieren auf Insider-Informationen, die über den Mailverkehr leicht zu erbeuten sind.

Einzig die Kombination aus E-Mail-Signatur und E-Mail-Verschlüsselung bietet Unternehmen, deren Geschäftspartnern und Kunden Sicherheit. Die Signatur bestätigt die Unversehrtheit der E-Mail-Inhalte und ihrer Anhänge, die Verschlüsselung dagegen bewahrt die gesamten Daten vor unberechtigtem Zugriff.

Grundsätzlich sind Unternehmen und Privatpersonen gut beraten, sich beim E-Mail-Versand nicht alleine auf die Transportverschlüsselung wie WPA2 oder TLS zu verlassen. Wird nur der Übertragungsweg gesichert, bleiben die Daten darin schutzlos, wenn der sicher geglaubte Transporttunnel Lücken aufweist. Und die nächste Sicherheitswarnung kommt gewiss.

Ein großes Maß an Sicherheit sowohl für Privatnutzer als auch für Unternehmen bietet die Verschlüsselung der Inhalte. Wer seine E-Mails ende-zu-ende verschlüsselt, schützt diese unabhängig von der Sicherheit der Transportstrecke. Wenn Angreifer Zugang zum WLAN bekommen oder sich in andere Datenleitungen hacken, bleiben als Beute nur nutzlose verschlüsselte Datenpakete.

Verschlüsselung wird häufig als wenig effizient und nicht wirtschaftlich wahrgenommen. Diese Einschätzung ist veraltet. In vielen Unternehmen sind sogenannte Secure Email Gateways zur E-Mail-Verschlüsselung und -Signatur heutzutage Bestandteil der Standard IT-Infrastruktur. Diese Gateways arbeiten weitgehend automatisiert im Hintergrund, ohne dass die Mitarbeiter sich mit dem Thema Verschlüsselung beschäftigen müssen.

Um geschäftliche E-Mails auch auf Endgeräten, Servern, internen Strecken sowie im WLAN und in Mobilfunknetzen zu schützen, kann ein Secure Email Gateway zur „Organizational Ende-zu-Ende-Verschlüsselung“ erweitert werden. Mit diesem Schutzniveau wäre selbst der Bundestagshack 2015 wirkungslos geblieben und auch KRACK verliert seinen Schrecken.

Weitere Inormationen:

Zwei Whitepaper mit weiterführenden Informationen und kryptografischen Grundlagen der E-Mail-Verschlüsselung für Unternehmen gibt es auf www.zertificon.com/whitepaper. 
 

GRID LIST
Tb W190 H80 Crop Int 55506f221ab84cba05d05865a12ffc34

Sicherheit in der „Smart City“ – worauf es ankommt

Technologien verändern unseren Alltag, das zeigt ein kurzer Blick auf die Kommunikation:…
Tb W190 H80 Crop Int 30fc4f90cd196143425331ec53049b63

Cyberkriminalität: "Den Menschen in den Mittelpunkt stellen"

Gemeinsam gegen Cyberkriminelle: Das Land Nordrhein-Westfalen intensiviert die…
Tb W190 H80 Crop Int 06f6eb4c29171a4441de1ba66103d83b

Cryptomining-Kampagne mit Jenkins Server entdeckt

Check Point Software Technologies Ltd. (NASDAQ: CHKP), entdeckt riesige…
Cyber Attack

Wenn Angreifer Admin-Tools für Cyberattacken missbrauchen

Eine der schwierigsten Aufgaben bei der Suche nach versteckten Angreifern im Netzwerk…
Tb W190 H80 Crop Int 7c77460484978a4728239d15bea143e1

Malware über Zero-Day-Schwachstelle in Telegram

Die Sicherheitsexperten von Kaspersky Lab haben Angriffe aufgedeckt, die mittels einer…
Tb W190 H80 Crop Int 18b7ca49e8f858989fae8325fe356d18

PZChao: Spionage-Infrastruktur mit Cryptominer

Der Malware-Werkzeugkasten „PZChao“, verfügt über eine umfassende Infrastruktur zur…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security