Studie zur Kommunikationssicherheit 5 Tipps für sichere Kommunikation bei Webseiten

Von Prof. Dr.-Ing. Dominik Merli

Anbieter zum Thema

Nutzer müssen Webseiten vertrauen können. Ein wichtiges Kriterium hierfür: sichere Kommunikationswege zwischen Browser und Server. Denn dort werden sensible Daten ausgetauscht. Sind diese Wege nicht gesichert, können Daten manipuliert, gestohlen oder ausspioniert werden. Welche Technologien und Konfigurationen für die Absicherung nach dem Stand der Technik nötig sind, das lesen Sie in diesem Beitrag.

In diesem Beitrag zeigt Prof. Dr.-Ing. Dominik Merli fünf Tipps, mit denen Website-Betreiber ihre Kommunikation gegen die häufigsten Fehler absichern und entsprechend des Stands der Technik konfigurieren können.
In diesem Beitrag zeigt Prof. Dr.-Ing. Dominik Merli fünf Tipps, mit denen Website-Betreiber ihre Kommunikation gegen die häufigsten Fehler absichern und entsprechend des Stands der Technik konfigurieren können.
(Bild: bluebay2014 - stock.adobe.com )

Die Kommunikation zwischen Webseiten und Nutzern erfolgt nach dem sogenannten Client-Server-Modell. Hierbei ist der Client üblicherweise ein Internetbrowser, der mit einem Server kommuniziert, auf dem die jeweilige Webseite betrieben wird. Browser und Server kommunizieren: Sie tauschen Daten aus, sobald jemand die Internetseite aufruft, ein Formular abschickt oder ein Dokument herunterlädt. Hier ist die richtige Absicherung entscheidend. Ansonsten kommen Cyberkriminelle beispielsweise an personenbezogene oder sensible Finanz-, Sicherheits-, oder Gesundheitsdaten.

In unserer Studie haben wir, das Institut für innovative Sicherheit der Hochschule Augsburg (HSA_innos) und das Technologietransferzentrum (TTZ) Data Analytics, die Kommunikationssicherheit von Webpräsenzen in der Region Donau-Ries betrachtet. Dabei zeigte sich ein großer Nachholbedarf hinsichtlich der verwendeten Technologien und deren Konfiguration.

Lediglich 37 Prozent der untersuchten Webseiten im Donau-Ries entsprachen dem Stand der Technik. Diese Domains nutzten Hypertext Transfer Protocol Secure (HTTPS) nur mittels TLS 1.2 mit Perfect Forward Secrecy (PFS) und/oder TLS 1.3 sowie ein gültiges X.509-Zertifikat. Geringfügige Konfigurationsfehler machten 21 Prozent aus. Hierzu zählen Webseiten, die sowohl Cipher Suites ohne PFS als auch zu kurze Schlüssellängen bei X.509-Zertifikaten verwendeten. Bei 42 Prozent der untersuchten Webseiten wurden erhebliche Konfigurationsfehler festgestellt. Diese boten entweder den unsicheren HTTP-Kanal an, nutzten bei der HTTPS-Kommunikation veraltete TLS-Versionen oder wiesen Zertifikatsfehler auf.

Solche Fehler können die Daten von Nutzern gefährden, sind aber vermeidbar. Deswegen lesen Sie hier nun fünf Tipps, mit denen Betreiber von Webseiten ihre Kommunikation gegen die häufigsten Fehler absichern und entsprechend des Stands der Technik konfigurieren können.

Tipp 1: Ausschließlich HTTPS nutzen

Unsere Studie (https://www.hs-augsburg.de/Informatik/HSA-innos/institut/Studie-zeigt-42-Prozent-der-Webseiten-im-Donau-Ries-kommunizieren-nicht-sicher.html) zeigt: Jeweils zwölf Prozent der untersuchten Webseiten nutzten entweder ausschließlich das unsichere HTTP oder stellten sowohl den HTTP- als auch HTTPS-Kanal zur Verfügung. 60 Webseiten leiteten sogar von HTTPS auf das unsichere HTTP um. Allerdings ermöglicht nur HTTPS eine Datenübertragung, die verschlüsselt und bei richtiger Konfiguration gegen Manipulation geschützt ist. Deshalb gilt: Falls Sie noch einen ungesicherten HTTP-Kanal bereitstellen, sollten Sie diesen zügig auf den sicheren HTTPS-Kanal umleiten.

HTTPS nutzt das Protokoll Transport Layer Security (TLS), früher auch Secure Sockets Layer (SSL) genannt. Allerdings bietet TLS das angestrebte Sicherheitsniveau nur dann, wenn aktuelle Versionen und sichere kryptographische Verfahren verwendet werden. Welche das sind, zeigt der nächste Tipp.

Tipp 2: Empfohlene TLS-Versionen mit sicheren kryptographischen Verfahren verwenden

Veraltete TLS-Protokollversionen oder zu schwache kryptographische Parameter stellen ein Sicherheitsrisiko dar. Denn werden unsichere TLS-Versionen nicht explizit abgelehnt, so können Angreifer diese für sogenannte Downgrade-Angriffe nutzen (siehe BSI Hilfsdokument TLS 2.2).

Mittlerweile gelten alle Versionen von SSL, TLS 1.0 sowie TLS 1.1 als veraltet. TLS 1.2 wird laut BSI nur als sicher angesehen, wenn zur Verschlüsselung ausschließlich kryptographische Algorithmen (Cipher Suites) eingesetzt werden, die PFS unterstützen. Von den untersuchten Webseiten in unserer Studie, die TLS 1.2 nutzten, verwendeten 52 Prozent ausschließlich Cipher Suites mit PFS und erfüllen damit die Empfehlungen. Das Protokoll TLS 1.3 gilt als sicher und benötigt keine zusätzlichen Maßnahmen.

Neben der Verschlüsselung der Datenverbindungen sind auch die X.509-Zertifikate entscheidend. Auch sie müssen gewisse Anforderungen erfüllen.

Tipp 3: Nur vertrauenswürdige und gültige Zertifikate bereitstellen

Aktuelle und vertrauenswürdige X.509-Zertifikate verifizieren die Authentizität des jeweiligen Webservers. Sogenannte Certificate Authorities (CA) stellen solche Zertifikate aus und garantieren deren Gültigkeit. Beliebt ist beispielsweise die Non-Profit-Organisation Let’s Encrypt, die seit 2015 kostenlose digitale Zertifikate ausstellt. 45 Prozent der in unserer Studie untersuchten Webseiten nutzten diese CA. Weniger beliebt waren DigiCert (34 Prozent) oder Sectigo (acht Prozent), beides kommerzielle Anbieter.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Vertrauenswürdige und damit von einer CA ausgestellte X.509-Zertifikate sind entscheidend für die Kommunikationssicherheit einer Webseite. Von selbstsignierten Zertifikaten ist deshalb dringend abzuraten. Zudem sollte die Zertifikatskette stets vollständig und bis zur Stammzertifizierungsstelle nachvollziehbar sein. Nicht außer Acht zu lassen ist zudem der Gültigkeitszeitraum. Dieser ist seit Oktober 2020 von großen Browser-Anbietern wie Apple, Google und Mozilla auf 398 Tage beschränkt.

Zudem sollten X.509-Zertifkate die vom BSI empfohlenen Schlüssellängen aufweisen. Diese finden Sie im folgenden Abschnitt.

Tipp 4: Die richtigen Schlüssellängen wählen

Zertifikate können RSA- oder ECDSA-basiert sein. Beide Algorithmen haben unterschiedliche Anforderungen an die Schlüssellänge. RSA-basierte Zertifikate sind am weitesten verbreitet und sollten mindestens eine Länge von 2000 Bit verwenden. Verfahren, die auf elliptischen Kurven basieren (ECDSA), sind moderner. Diese Varianten sollten Schlüssel mit einer Länge von mindestens 250 Bit verwenden. Damit bieten sie bei geringerer Länge die gleiche Sicherheit wie RSA-basierte Zertifikate, wodurch eine höhere Performance erreicht werden kann.

Gut konfigurierte Web-Server bilden die Grundlage für eine sichere Kommunikation mit Internetseiten. Jedoch sollte eine optimale Security-Strategie noch deutlich mehr Faktoren berücksichtigen.

Tipp 5: Best Practices bei der Konfiguration des Web-Servers befolgen

Die IT-Sicherheit eines Serversystems lässt sich auf verschiedene Arten optimieren. Dabei sind besonders der eingesetzte Web-Server, das dort verwendete Betriebssystem sowie das Content-Management-System (CMS) im Fokus. Hierfür sollten Betreiber Best Practices befolgen, wie beispielsweise die CIS Benchmarks.

Zudem sollte die Angriffsfläche möglichst minimiert werden. Dies erreicht man zum Beispiel, indem man unnötige Schnittstellen und Services abschaltet. Denn umso weniger von ihnen aktiv sind, desto geringer ist das Angriffspotenzial. Zusätzlich sollten die externen Zugriffsmöglichkeiten auf den Server auf ein Minimum reduziert sein.

Neben diesen einmaligen Konfigurationen ist eine kontinuierliche Pflege des Gesamtsystems wichtig. Hierfür sollten Betreiber regelmäßig Updates, insbesondere Sicherheits-Updates, auf dem Server einspielen und aktuelle Schwachstellenmeldungen verfolgen. Damit bleibt das Server-System immer auf dem aktuellsten Stand.

Fazit

Im Web muss Kommunikationssicherheit ein wichtiger Teil der Security-Strategie sein. Um die Kommunikation entsprechend dem aktuellen Stand der Technik abzusichern, gibt es einige Möglichkeiten. Zusammengefasst bedeutet das: ausschließlich mittels HTTPS-Verbindungen kommunizieren, dabei nur TLS 1.2 mit PFS oder TLS 1.3 anbieten und gültige X.509-Zertifikate verwenden.

Die Herausforderungen, die sich regional im Donau-Ries abzeichnen, lassen sich auch auf andere Seitenbetreiber übertragen. Das heißt: Es besteht Handlungsbedarf in Sachen Kommunikationssicherheit – besonders für Unternehmen und Behörden. Denn sichere Kommunikationswege sind die Grundlage für Vertrauenswürdigkeit im Internet, aber auch für sichere, digitale Wertschöpfung in industriellen Anwendungen.

Über den Autor: Prof. Dr.-Ing. Dominik Merli leitet das Institut für innovative Sicherheit der Hochschule Augsburg (HSA_innos) und ist stellvertretender Leiter des TTZ Data Analytics in Donauwörth. Beide Einrichtungen entwickeln Lösungen zur Digitalisierung von Unternehmen und Behörden. Prof. Merlis Schwerpunkte sind IT und OT Security sowie die Entwicklung sicherer eingebetteter Systeme.

(ID:48403078)