Die Sicherheitslücke HTTPoxy macht deutlich, dass die Basissicherheit des Internets noch immer nicht ausreichend ist. Statt an den Symptomen herumzudoktern, sollten Unternehmen grundlegende Maßnahmen ergreifen.
(firmenpresse) - Minneapolis/München, 29. September 2016 - Entrust Datacard, ein führender Anbieter von Identitäts- und Sicherheitstechnologien, empfiehlt mit Blick auf die Ausweitung der Bedrohungslage die unternehmensweite Nutzung von HTTPS.
In regelmäßigen Abständen nutzen Angreifer Schwachstellen bei der unverschlüsselten Übertragung von Informationen aus und entwickeln entsprechende Angriffsmuster. In diesem Sommer wurde beispielweise ausführlich über die Nutzung einer Schwachstelle mit dem harmlosen Namen HTTPoxy berichtet. Diese Schwachstelle erlaubt es einem Angreifer, den ausgehenden Datenverkehr eines Servers umzuleiten und so mitzulesen. Dazu muss der Angreifer lediglich einen bestimmten HTTP-Header an den Server schicken. Diese Sicherheitslücke ist zwar seit mehr als fünfzehn Jahren bekannt und dennoch klafft diese Lücke nach wie vor in vielen Server-Konfigurationen.
Diese Sicherheitslücke ist mit geringem Aufwand zu schließen (siehe Link unten), dennoch macht sie ein grundlegendes Problem deutlich: Die enorme Anzahl an Sicherheitslücken macht die manuelle Bearbeitung unsicher. Immer wieder werden bekannte Lücken schlichtweg vergessen. Oberste Priorität sollten daher Maßnahmen sein, die die Grundsicherheit des Netzes auf breiter Front erhöhen und eine Vielzahl von Schwachstellen auf einen Schlag schließen. Statt sich auf das Kurieren von Symptomen zu fokussieren, sollten die Ursachen bekämpft werden. Dieses Vorgehen würde nachhaltig wirken und so zumindest mittelfristig Budgets und Nerven schonen.
Eine dieser Maßnahmen ist die flächendeckende Einführung von HTTPS auf allen internen wie externen Servern. Obwohl Internetgrößen wie Google es bereits seit Jahren einfordern, wird HTTPS noch immer nicht flächendeckend eingesetzt. Die breite Einführung von HTTPS würde schlagartig die Sicherheit aller Sites erhöhen, ohne dass es eine Rolle spielt, welche Inhalte dort tatsächlich angeboten werden. HTTPS vereitelt neben HTTPoxy auch eine ganze Reihe weiterer Angriffe wie SSLstrip und Firesheep. Es schützt zudem die Privatsphäre der Nutzer. Weiherhin wird durch HTTP Strict Transport Security (HSTS) die Aushebelung der Verbindungsverschlüsselung durch Downgrade-Attacken verhindert und das Session Hacking unterbunden. Zusätzlich würde die Verbreitung HTTP/2 gefördert. Auch auf die SEO-Eigenschaften mit Blick auf das eigene Google-Ranking wirkt sich HTTPS positiv aus.
"Die grundlegende Sicherheit des Internets würde durch die flächendeckende Einführung von HTTPS deutlich verbessert. Es bleibt also nur an die Verantwortlichen zu appellieren, ihre Server mit HTTPS auszustatten", sagt Lars Plantzen, Account Manager Central Europe bei Entrust Datacard. "Auch, wenn es auf den ersten Blick vielleicht etwas altruistisch wirkt, profitiert mittelfristig jeder einzelne davon, da sich die Grundsicherheit des gesamten Internets deutlich erhöhen würde."
Entrust Datacard präsentiert sein gesamtes Produktportfolio im Bereich Identity und Security vom 18. bis 20. Oktober auf der IT-Security Messe it-sa in Nürnberg. Auf der größten Spezialmesse für IT-Sicherheit zeigt Entrust Datacard insbesondere die bekannten Zertifikate, eine unternehmensweite Zertifikatsverwaltung sowie Lösungen zur IoT-Sicherheit und Enterprise-PKI. Besucher finden Entrust Datacard in Halle 12 am Gemeinschaftsstand des Distributors ectacom (Stand 12.0-562). Gerne stellt Entrust Datacard Besuchern auch ein kostenloses Messeticket zur Verfügung. Zur Terminvereinbarung wenden sich Interessenten bitte per Email an Herrn Lars Plantzen unter lars.plantzen(at)entrust.com.
Eine detailliertere Beschreibung von HTTPoxy und wie man die Sicherheitslücke schließt, findet man in folgendem Beitrag im IDentityON-Blog von Entrust: https://www.entrust.com/httpoxy-another-reason-https-everywhere/
Mehr zum Thema unternehmensweites HTTPS finden Interessenten auf der Website https://www.entrust.com/ssl-certificates/
Entrust Datacard bietet Identitäts- und Sicherheitstechnologien, die eine sichere und zuverlässige Nutzung von Informationen im E-Commerce- und E-Government-Bereich erlauben, den Zugang zu Unternehmensnetzwerken und Webseiten schützen sowie den geordneten Grenzübertritt sichern. Die Lösungen erstrecken sich von Reisepässen, Ausweisen und Zahlkarten in der physischen Welt bis hin zu Authentifizierung, Zertifikaten und sicherer Kommunikation im digitalen Umfeld.
Entrust Datacard stellt jeden Tag mehr als zehn Millionen Identitätsnachweise oder Zahlkarten aus und sichert jedes Jahr Milliarden von Onlinetransaktionen. Entrust Datacard ist führend im Markt für Identity-based Enterprise Security Solutions und löst Herausforderungen seiner Kunden in den Bereichen Cloud Security, E-Commerce Security, Mobile Device Security, Mail Security und Web Security.
Die Software-Authentication-Plattform Entrust Identity Gard bietet Authentifizierung (Authentication) sowie Identity Assurance und unterstützt alle gängigen Formen wie Smartcards, Logins/Passwords, mobile Zertifikate und Token, Mobile Smart Credential und Transaction Signing. Entrust Datacard bietet ein bestmögliches Portfolio an SSL-Zertifikaten mit u. a. EV-Multi-Domain SSL, UC-Multi-Domain SSL, Wildcard SSL sowie eine professionelle Zertifikatsverwaltung. Die Public-Key-Infrastruktur (PKI) von Entrust Datacard ist die am weitesten verbreitete kommerzielle PKI weltweit.
Mit über 2.000 Mitarbeitenden an über 30 Standorten und einem Netzwerk aus zuverlässigen globalen Partnern betreut Entrust Datacard seine Kunden in 150 Ländern weltweit. Zu den Kunden gehören u. a. Adidas, Airbus, Bertelsmann, BP, Ernst & Young, die Europäische Zentralbank, KPMG, Lufthansa Technik, Mastercard, Santander, UBS und Volkswagen.
Weitere Informationen zu Unternehmen und Produktangebot finden Sie unter: www.entrustdatacard.com.
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Geberstraße 63
78050 Villingen-Schwenningen
bernd.hoeck(at)bloodsugarmagic.com
0049 7721 9461 220
http://www.bloodsugarmagic.com