07.06.2017

SSL: Verschlüsselung leicht gemacht

Das Thema Sicherheit in der IT-Welt ist ein herausragendes, wenn nicht sogar eines der wichtigsten Themen überhaupt. Und eine der grundlegenden Anforderungen an die Sicherheit ist die verschlüsselte Übertragung SSL von digitalen Inhalten.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Abgefangen, mitgehört, missbraucht

Heutzutage sollte niemand mehr irgendwelche sensiblen Inhalte ohne Verschlüsselung von SSL durch den virtuellen Äther des WWW, sprich des Internets schicken – die Gefahr, dass diese abgefangen, mitgehört, missbraucht werden, ist einfach zu gross. Seit den Skandalen um die Mithörpraktiken diverser Geheimdienste – Stichworte NSA, Prism und Julian Assange – hat dieses Thema noch weitere Bedeutung erlangt. Nicht nur gegen finstere Cyberkriminelle, sondern sogar vor ungewolltem staatlichem Mitlesen schützt eine gute Verschlüsselung. Zum Standard gehören:

  • Der verschlüsselte Aufruf von Webseiten. «https» sollte am Anfang möglichst jeder URL stehen. Was jahrelang Banken, Webshops und anderen sicherheitsrelevanten Webseiten vorbehalten war, gehört inzwischen mehr und mehr zum guten Ton. Google belohnt sogar Webseiten, die standardmässig auf https:// umgelenkt werden, mit besseren Platzierungen bei den Suchergebnissen.
  • Ebenso sollten E-Mails nur noch verschlüsselt vom und zum Mailserverprovider geschickt werden. Das geht heutzutage mit STARTTLS als Standard.
  • Selbst beim Mailtransport zwischen den Mailservern im Internet hält Verschlüsselung mit SSL mehr und mehr Einzug.
  • Dateien in Freigaben (auf Servern oder in kleinen Netzwerkspeichern, NAS) sollten ebenfalls nur verschlüsselt ihren Weg vom und zum abrufenden PC finden.
  • VPN it dem Protokoll IPSec oder per SSL-Anwendung (OpenVPN und andere) sollten ebenfalls Standard sein und das ebenfalls auf Verschlüsselung beruhende, aber nicht mehr zeitgemässe PPTP abgelöst haben.
  • Voice-over-IP-Telefonie sollte niemals unverschlüsselt über die Netzwerke gehen – erst recht nicht als VOIP-Centrexx-Lösung, bei der die Endgeräte in der Regel fernab vom VOIP-Server stehen, der zumeist auch noch irgendwo im Internet platziert ist.
  • WLANs sollten immer mit dem aktuellen Standard WPA2 abgesichert sein.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit, stellt aber schon eine ganz solide Orientierungshilfe dafür dar, worauf Sie in Ihrer IT-Umgebung achten sollten.

Praktische Umsetzung von SSL

Wie sieht aber die praktische Umsetzung aus? Beim Thema WLAN dürfte dies am wenigsten ein Problem bedeuten – ungesicherte WLAN-Netze findet man heutzutage kaum noch. Dies liegt sicher mit daran, dass die Absicherung relativ einfach und durch die meisten Nutzer selbst zu bewerkstelligen ist. Zudem dürfte es inzwischen fast jedem klar geworden sein, welches Sicherheitsrisiko in unverschlüsselten WLAN-Netzwerken lauert.

Wer eine NAS zu Hause betreibt, kann vielleicht mit unverschlüsselten Daten auf der NAS und einer ebenso unverschlüsselten Übertragung der Daten innerhalb seines Netzwerks leben. Im Business-Bereich – und das gilt bereits für kleinere Betriebe, die ebenfalls nur über eine NAS anstelle eines ausgewachsenen Servers mit Benutzerverwaltung und weiterem mehr verfügen – sollten Sie oder Ihre IT-Administration selbstverständlich darauf achten, dass,

  • die Dateiübertragung im Netzwerk verschlüsselt stattfindet. Das ist mit den heutzutage üblichen Filesharing-Standards eigentlich kein Problem mehr. Dasselbe gilt für die Anmeldung an der Freigabe – hier sollten Sie die Credentials (also das Zweigespann aus Anmeldename und -passwort) natürlich grundsätzlich nur verschlüsselt über das Netzwerk gehen lassen.
  • die Daten auf den Datenträgern selber natürlich ebenfalls verschlüsselt werden – das kostet zwar ein wenig Performance, aber gerade eine NAS in einer kleineren Büroumgebung ist oftmals nicht unbedingt gut gegen Diebstahl gesichert. Und im Falle eines Falles sollten Ihre Daten selbstverständlich nicht in unbefugte Hände geraten.

Vergessen Sie dabei nicht die Datensicherung! Ein Back-up auf zwei USB-Festplatten, die an der NAS angeschlossen und regelmässig gewechselt und ausgelagert werden, ist eine gute Sache, die aber mit einer SSL-Verschlüsselung der Festplatten noch ihren Abschluss finden sollte – plus einer regelmässigen Rückversicherung, ob die derart gesicherten Daten denn im Ernstfall auch wiederherstellbar sind.

SSL: Webseiten-, E-Mail- und VPN-Verschlüsselung

Anders ist es schon bei den Themen Webseiten-, E-Mail- und VPN-Verschlüsselung. Lassen wir VPN einmal als eher spezielles Gebiet aussen vor, so betreiben viele von uns doch wenigstens eine eigene Webseite oder sind für deren Betrieb zuständig oder verantwortlich. Und selbst über einen kleinen E-Mail-Server zu verfügen, ist schon lange nichts Exotisches mehr – entweder in Form eines Exchange auf einem Windows SBS (Small Business Server) 2008 oder 2011 (gelegentlich sogar noch auf einem SBS 2003) oder einem selbst betriebenen oder gehosteten Postfix – dem heutigen Quasi-Standard bei den Mailservern und Mail-Gateways. Hier sollte Verschlüsselung ein unbedingter Standard sein. Wie Sie das mit überschaubarem Aufwand hinbekommen, zeigen wir Ihnen in diesem Beitrag.

Der StartSSL-Krimi

Doch zuvor ein bisschen «Aktenzeichen XY». Zum Verschlüsseln von Protokollen für Web- und Mailserver (HTTP, IMAP/POP, SMTP) gehören Zertifikate. Sie erzeugen dazu auf Ihrem Server eine persönliche Schlüsseldatei, erstellen damit eine öffentlich einsehbare Zertifizierungsanfrage und schicken diese zu einem anerkannten Zertifizierer. Dieser zeichnet mit seinem öffentlich anerkannten Zertifikat gegen und erstellt Ihnen eine Datei, die das öffentliche Zertifikat Ihres Servers enthält. Sofern in den Programmen wie einem Webbrowser (Firefox, Chrome, Edge, Safari) oder einem E-Mail-Client (Outlook, Thunderbird, Mail) die öffentlichen Stammzertifikate des Zertifikaterstellers eingebunden sind, kann beispielsweise Ihr E-Mail-Programm bei der Verbindung mit mail.irgendwas.ch dessen Zertifikat prüfen und die verschlüsselt versendeten Mails senden und empfangen.

SSL-Zertifikate – eine Frage des Vertrauens

Wie gelangen diese Stammzertifikate in die Anwendungen? Es gibt keine staatliche oder sonst wie übergeordnete Stelle, die wiederum die Zertifikate der Zertifikatsanbieter überprüft und selber verifizierbar macht. Vielmehr ist es ein ganzes Geflecht aus Zertifikatsanbietern und Zertifikatsnutzern, die ein weltweit gültiges Zertifizierungssystem aufgebaut haben – dazu weiter unten mehr, wenn es um das Thema «Intermediäre Zertifikate» geht. Hier nur als Information vorweg, dass die Entwickler der entsprechenden Programme wie Mozilla für Firefox und Thunderbird, Google mit Chrome, Microsoft für Internet Explorer, Edge und Outlook, Apple mit Safari und Mail.app und so fort selber darüber entscheiden, ob sie die Zertifikate eines entsprechenden Anbieters in ihre Programme aufnehmen oder nicht – oder ob sie diese gar zurückziehen, weil ihnen eben nicht mehr vertraut wird.

Es gibt sehr viele Zertifikatsanbieter, viele betreiben die Zertifizierung aber aus eigenem Interesse und nicht zu dem Zweck, Endverbrauchern Zertifikate über deren Webseite auszustellen – so etwa Apple, Microsoft oder auch staatliche Institutionen. Werfen Sie nur einmal einen Blick in eine solch eindrucksvoll lange Liste, wie sie Apple für das aktuelle Mobilgerät-Betriebssystem iOS 10 pflegt: https://support.apple.com

Selbstverständlich gibt es aber auch Zertifikatsanbieter, die von dem Verkauf ausgestellter Zertifikate leben. Auch deren Stammzertifikate finden in aller Regel Eingang in die Browser und andere Anwendungen. Genannt seien hier VeriSign, Geotrust, Thawte und StartCOM. Auch das recht neue Gemeinschaftsprojekt «Lets encrypt» gehört dazu, siehe an anderer Stelle in diesem Portal. Sie finden eine Übersicht zum Beispiel unter www.top10sslcertificates.com.

Selbst ist nicht immer der (IT-)Mann

Eine einfache Methode besteht daneben noch darin, sich diese SSL-Zertifikate selbst auszustellen. Dazu erstellt man einfach seine eigene Zertifizierungsinstanz und stellt sich selber ein Zertifikat aus, in welchem man sich selber die Vertrauenswürdigkeit bescheinigt. Dass so etwas überhaupt nicht verifizierbar und somit wenig vertrauenswürdig ist, dürfte klar sein – entsprechend erhält man beim Besuch einer solchen sich selbst die Vertrauenswürdigkeit der Verschlüsselung bescheinigenden Webseite in der Regel die bekannten Warnmeldungen im Browser: «Die Verbindung zu dieser Website ist nicht sicher» und ähnlich.

Den ganzen Beitrag zu diesem Thema und vielen weiteren spannenden Themen finden Sie in unserem iDesk «InformatikPraxis»

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 19. Juni 2018

mehr Infos

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Compliance und Wettbewerbsrecht für Profis mit Prof. Dr. Patrick Krauskopf

    Neuste Entwicklungen und aktuelle Rechtspraxis

    Nächster Termin: 12. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 19. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internationale Vertragsgestaltung für Profis mit Prof. Dr. Patrick Krauskopf

    Rechtssichere Verhandlungen und Verträge auf internationalem Parkett

    Nächster Termin: 12. Februar 2018

    mehr Infos