PK TLS-Check am 23.2.2016. Langversion/Einführung:



Ähnliche Dokumente
Anbindung des eibport an das Internet

Erfahrungen mit Hartz IV- Empfängern

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

teamsync Kurzanleitung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Bundesverband Flachglas Großhandel Isolierglasherstellung Veredlung e.v. U g -Werte-Tabellen nach DIN EN 673. Flachglasbranche.

Guide DynDNS und Portforwarding

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

64% 9% 27% INFORMATIONSSTATUS INTERNET. CHART 1 Ergebnisse in Prozent. Es fühlen sich über das Internet - gut informiert. weniger gut informiert

Informationen zum neuen Studmail häufige Fragen

Ein neues System für die Allokation von Spenderlungen. LAS Information für Patienten in Deutschland

Benutzeranleitung Web Login (Internetzugang an Öffentlichen Datendosen und in Studentenwohnheimen )

1. Laptop: Benutzen Sie die Anleitung ab Seite 2 2. Tablet / Smartphone: Benutzen Sie die Anleitung ab Seite 4. Seite 2 Seite 4

5. Testen ob TLS 1.0 auf Ihrem System im Internet-Explorer fehlerfrei funktioniert

Mobile Intranet in Unternehmen

Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Blitzumfrage zum Thema Crowdinvesting. Stand: Blitzumfrage des BITKOM zum Crowdinvesting in Deutschland. Methodik

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Social Media Einsatz in saarländischen Unternehmen. Ergebnisse einer Umfrage im Mai 2014

Transaktionsempfehlungen im ebase Online nutzen

Electronic Systems GmbH & Co. KG

Deutschland-Check Nr. 35

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Nutzung dieser Internetseite

Leitfaden für den -Dienst

Sichere für Rechtsanwälte & Notare

S Sparkasse Hohenlohekreis. Leitfaden zu Secure

Übersicht Die Übersicht zeigt die Zusammenfassung der wichtigsten Daten.

Ergebnis und Auswertung der BSV-Online-Umfrage zur dienstlichen Beurteilung

Mail-Signierung und Verschlüsselung

Eine eigene Seite auf Facebook-Fanseiten einbinden und mit einem Tab verbinden.

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Fremdwährungsanteil bei Tilgungsträgerkrediten bei 86 % eine Analyse der Fremdwährungskreditstatistik 1

Kundenzufriedenheit in der Wasserwirtschaft

Ergebnisse: Online- Fundraising Studie 2011 von Thomas Seidl & Altruja GmbH

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Anleitung. Lesezugriff auf die App CHARLY Termine unter Android Stand:

micura Pflegedienste München/Dachau GmbH

Norton Internet Security

nic.at - Salzamt im (österreichischen) Internet?

Update VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34.

Elternzeit Was ist das?

GS-Buchhalter/GS-Office 2015 Saldovorträge in folgenden Wirtschaftsjahren erfassen

Kompetenzen und Aufgabenbeispiele Englisch Schreiben

D a s P r i n z i p V o r s p r u n g. Anleitung. - & SMS-Versand mit SSL (ab CHARLY 8.11 Windows)

Meinungen zum Sterben Emnid-Umfrage 2001

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Deutliche Mehrheit der Bevölkerung für aktive Sterbehilfe

Neukundentest Versicherungen 2015 Zusammenfassung Gesamtmarkt

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

IT-Trend-Befragung Xing Community IT Connection

15 Social-Media-Richtlinien für Unternehmen!

Anleitung über den Umgang mit Schildern

Risiken der gesamtwirtschaftlichen Entwicklung

Dokumentation zur Versendung der Statistik Daten

Anwendertreffen 20./21. Juni

Sparen in Deutschland - mit Blick über die Ländergrenzen

Schrittweise Anleitung zur Abholung von Zertifikaten der Bayerischen Versorgungskammer mit Safari unter Mac

Installationshinweise für OpenOffice Portable auf einem Wechseldatenträger Stand: 27. März 2003 LS Stuttgart, Kaufmännische ZPG

Pränatales Screening auf Chromosomenstörungen. Pränatales Screening. Leitfaden für werdende Mütter und Väter. Leitfaden für werdende Mütter und Väter

Verpasst der Mittelstand den Zug?

Trainingsplan 16-wöchiger Trainingsplan für einen Triathlon (Volkstriathlon), Einsteiger

Übungsaufgaben Tilgungsrechnung

Kontakte Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Einrichtung von Mozilla Thunderbird

Lehrer: Einschreibemethoden

Tipp III: Leiten Sie eine immer direkt anwendbare Formel her zur Berechnung der sogenannten "bedingten Wahrscheinlichkeit".

Angaben zur Person für die erstmalige Schulaufnahme

Statistische Auswertung:

STRATO Mail Einrichtung Mozilla Thunderbird

WinWerk. Prozess 6a Rabatt gemäss Vorjahresverbrauch. KMU Ratgeber AG. Inhaltsverzeichnis. Im Ifang Effretikon

mehrmals mehrmals mehrmals alle seltener nie mindestens **) in der im Monat im Jahr 1 bis 2 alle 1 bis 2 Woche Jahre Jahre % % % % % % %

1. EINLEITUNG 2. GLOBALE GRUPPEN Globale Gruppen anlegen

Die Statistiken von SiMedia

Informationen als Leistung

Zwischenablage (Bilder, Texte,...)

Statuten in leichter Sprache

Würfelt man dabei je genau 10 - mal eine 1, 2, 3, 4, 5 und 6, so beträgt die Anzahl. der verschiedenen Reihenfolgen, in denen man dies tun kann, 60!.

Häufig gestellte Fragen (FAQ)

Einführung von D im Land Bremen

Warum Autoversicherungskunden ihren Anbieter wechseln

Übung - Konfigurieren einer Windows 7-Firewall

Sicher einkaufen Trusted Shop Gütesiegel - Preiswerte Baustoffe online kaufen.

SSL/TLS-VERBINDUNGEN ZU DIENSTEN IM KVFG NETZ

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Wie erleben Verbraucher IGeL? Ergebnisse einer Umfrage der Verbraucherzentralen

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

Sicherheit in Ihren Online Meetings. Kontrollmöglichkeiten und Sicherheitsmechanismen.

104 WebUntis -Dokumentation

Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Der neue Feuerwehrführerschein, erste Erfahrungen aus Baden-Württemberg.

Anleitung: Confixx auf virtuellem Server installieren

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

NetMan Desktop Manager Vorbereitung und Konfiguration des Terminalservers

Mustervortrag zum Foliensatz Rente ab 67 stoppen Soziale Alternativen durchsetzen!

Südbaden-Cup. Ausstieg Champions

Grundkenntnisse am PC Das Internet

COMPUTER MULTIMEDIA SERVICE

Transkript:

PK TLS-Check am 23.2.2016 Langversion/Einführung: Kommunikation und Austausch von Informationen und Daten via Internet ist zu einem Kernelement unternehmerischer Aktivitäten geworden. Mit den aktuellen Entwicklungen im Rahmen von Industrie 4.0 und dem Internet of Things wird die Nutzung des Internet noch weiter steigen. Gleichzeitig wächst die Bedrohung der Unternehmen durch Cyberkriminalität und Sicherheitslücken, wie Heartbleed im letzten Jahr. Auch erweitern sich die rechtlichen Verpflichtungen aus dem Betrieb von Internetservern. Diese werden zunehmend durch die öffentlichen Datenschutzbeauftragten überprüft und Verstöße können zu Auflagen und Bußgeldern führen. Der sicheren Verbindung zwischen Webservern und Webbrowsern kommt bei der Internet Nutzung eine zentrale Bedeutung zu. Nur mit einer vom Server bereitgestellten sicheren Verbindung wird die Integrität, Vertraulichkeit und Authentizität der Kommunikation gewährleistet. In Deutschland setzt vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen strengen Best Practice Standard für sichere Verbindungen im Internet, der für Behörden sogar verbindlich ist. Non Profit Organisationen wie das Bettercrypto Project oder die Internet Engineering Task Force (IETF) ergänzen dies mit weniger strengen Empfehlungen, die auch die Kommunikation mit älteren Browserversionen ermöglichen. Vereinfacht besagen aber alle Empfehlungen: Es sollte grundsätzlich nur verschlüsselte Verbindungen geben (HTTPS) Die Kommunikation zwischen Server und Browser sollte auf Basis sicherer Protokolle erfolgen (Nutzung aktueller TLS-Versionen) Für die Verschlüsselung sollten sichere kryptographische Verfahren (Cipher Suites) eingesetzt werden Um das Bewusstsein für die Notwendigkeit sicherer Internetverbindungen bei den Kammerunternehmen zu erhöhen und eine Kennzahl für das Monitoring des Sicherheitsniveaus bei den Unternehmen zu etablieren, hat die IHK mit ihrem Ausschuss für Informationstechnik, mit Unterstützung des Instituts für Internetsicherheit der Westfälischen Hochschule sowie in Kenntnis des Landesdatenschutzbeauftragten den TLS-Check durchgeführt. Der TLS-Check prüft das Sicherheitsniveau der von den IHK Mitgliedsunternehmen betriebenen öffentlich zugänglichen Web- und Mailservern gegen die Kernpunkte der Best Practice Empfehlung des BSI. Als Kennzahl für die Entwicklung und Innovation bei der Internetsicherheit wird ein gewichteter Gesamtwert über alle angesprochenen Server berechnet. Die Kennzahl und die Einzelergebnisse werden in regelmäßigen Abständen durch einen neuen Testlauf fortgeschrieben. Um das Testverfahren und die Berechnung der Kennzahl transparent zu gestalten stellt die Kammer den Code als Open Source zur Verfügung. Auch die Testergebnisse aller rund 100 Einzeltests, für alle Domains zusammengefasst, stehen zum Download bereit. Details TLS-Check, Herr Wilfer, 31.3.2016 1

Die Ergebnisse des Testlaufs mit 16.383 Servern im ersten Quartal 2016 zeigen ein unzureichendes Niveau der Internetsicherheit: Sichere und verschlüsselte Verbindungen werden zu wenig und großteils Teil fehlerhaft angeboten. Etwa die Hälfte der Webseiten und mehr als drei Viertel der Mailserver unterstützen zwar prinzipiell eine sichere Kommunikation (HTTPS bzw. SMTP+STARTTLS), aber nur wenige haben ein gültiges Zertifikat. Browser warnen in diesem Fall den Nutzer vor dem Aufbau einer Verbindung da ein Angriffsrisiko besteht. Hier besteht dringender Handlungsbedarf. Aktuelle sichere Protokolle sind weitgehend implementiert, aber gleichzeitig werden parallel oft noch unsichere Protokolle unterstützt. Positiv ist festzustellen, dass bei den HTTPS Webseiten und Mailservern die als sicher geltenden Protokolle (TLS 1.1 und TLS 1.2) inzwischen von mehr als der Hälfte unterstützt werden. Gleichzeitig unterstützt die große Mehrheit der Webseiten und Mailserver ( > 80 % ) weiterhin das Protokoll TLS 1.0, das zusammen mit der sehr hohen Unterstützung (s.u.) unsicherer Verschlüsselung ein signifikantes Angriffspotential bietet. Negativ ist, dass noch knapp ein Viertel der Server das sehr unsichere SSL 2.0 sowie das unsichere SSL 3.0 unterstützen. Die eingesetzte Verschlüsselung ist bei der großen Mehrheit der Internetserver unsicher Bezüglich der unterstützten Kryptographischen Verfahren ergibt sich ein kritisches Bild. Weniger als ein Viertel der Webseiten und Mailserver unterstützt ausschließlich sichere und sehr sichere Verschlüsselung. Mehr als drei Viertel unterstützen dagegen auch unsichere und sehr unsichere Verschlüsselung. Insgesamt ist das Sicherheitsniveau bei den Mailserver schlechter als bei Webservern Der vom BSI empfohlene strenge Best Practise Standard wird von keinem der getesteten Server eingehalten. Der weniger strenge Best Practise nach Bettercrypto B wird von weniger als 5% der getesteten Sever eingehalten. Insgesamt besteht zum Ausschluss wirtschaftlicher oder rechtlicher Risiken ein deutliches Verbesserungspotential zum Thema Internetsicherheit bei den Mitgliedsunternehmen der Kammer. Hier wird die Kammer weiter zur Aufklärung und Unterstützung tätig sein. Details TLS-Check, Herr Wilfer, 31.3.2016 2

Detailergebnisse: Die Ergebnisse des TLS-Checks im Q1 im Detail: 1. Webseiten: a. Sichere Internetverbindung über HTTPS: Weniger als die Hälfte der Webseiten ermöglichen eine sichere Verbindungen via HTTPS. Von diesen verursacht aber über 90% eine Browserwarnung wegen Unstimmigkeiten zwischen Zertifikat und Hostname. Da das Zertifikat meist nicht zum Name passt ist anzunehmen, dass diese nicht bewusst Verschlüsselung einsetzen. Ein Fünftel der Webseiten mit gültigem Zertifikat leitet den Besucher nach dem Aufbau einer sicheren Verbindung auf eine ungesicherte Seite weiter. Von den bekannten 16.383 Webseiten (100 % Grundmenge) waren 15.010 (92 %) erreichbar 6.760 Webseiten (41%) lassen eine Verbindung über HTTPS zu. Davon verfügen nur 8% (1.339) über ein gültiges und zum Hostnamen passendes Zertifikat. Von den Webseiten, die prinzipiell HTTPS beherrschen, leiten 20% den Besucher nach dem Aufbau einer sicheren Verbindung automatisch auf eine nicht gesicherte Seite (HTTP) weiter. Die 2014 veröffentlichte schwere Heartbleed-Sicherheitslücke ist weitgehend behoben. Bei acht Servern besteht sie aber immer noch. b. Eingesetzte Protokolle: Knapp zwei Drittel der Webseiten unterstützen inzwischen dem Stand der Technik entsprechend sichere Protokolle. Aber immer noch etwa ein Fünftel der Webseiten unterstützt weiterhin unsichere Protokolle. Positiv ist, dass die große Mehrheit der HTTPS Webseiten ( 61 % / 62%) die als sicher geltenden TLS 1.1 und 1.2 Protokolle unterstützen. Andererseits werden die als unsicher geltenden Protokolle SSLV2.0 ( 6% ) und SSL V3.0 ( 22% ) immer noch von beinahe einem Drittel der getesteten Webseiten unterstützt. Das Protokoll TLS 1.0 wird von 87% der Webseiten unterstützt. Auch wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einem Einsatz ausdrücklich abrät, ist TLS 1.0 in Verbindung mit sicheren Kryptographie Schlüsseln noch vertretbar, um weiterhin noch ältere Geräte (insbesonere Smartphones und Tablets) zu unterstützen. Nur 13 Server (0,2%) unterstützen ausschließlich TLS 1.1 oder 1.2. und entsprechen damit der BSI Empfehlung 25% ( 1691 ) unterstützen ausschließlich TLS 1.0 oder älter. Details TLS-Check, Herr Wilfer, 31.3.2016 3

c. Kryptographische Verfahren (Cipher-Suites) zur Verschlüsselung: Etwa drei Viertel der Webseiten unterstützen auch unsichere Verschlüsselungsverfahren. Nur etwa jede zwanzigste Webseite unterstützt sehr sichere Verschlüsselung. Die große Mehrheit (74 %) der HTTPS Webseiten bietet auch unsichere, 6 % sogar sehr unsichere Kryptographische Verfahren (Cipher Suites) an. Zwar bieten 56% der Webserver bieten auch mindestens eines der vom BSI zur ausschließlichen Nutzung empfohlenen Verfahren an, aber nur ein kleiner Anteil (4%) der Webseiten bieten nur sichere Verschlüsselungsverfahren. Keine einzige der untersuchten Webseiten hält sich vollständig an die BSI- Empfehlungen. Im Zusammenhang mit der hohen Unterstützung des TLS 1.0 Protokolls stellt die mehrheitlich unsichere Verschlüsselung ein Risiko für sogenannte Downgrade Angriffe dar. 2. Mailserver: a. Sichere Internetverbindung über HTTPS: Etwa drei Viertel der Mailserver (Mail-Exchange MX für die ausgewerteten Domains) ermöglichen eine sichere Verbindungen via STARTTLS. Von den bekannten 9.363 Mailservern (100 % Grundmenge) waren 8.829 (94 %) erreichbar. 7.397 Mailserver (79 %) unterstützen eine verschlüsselte Verbindung mittels START- TLS. Davon verfügt nur etwa ein Drittel über ein gültiges und zum Domainnamen passendes Zertifikat. Bei einigen Servern ist die schwere Heartbleed-Sicherheitslücke immer noch nicht behoben: Dies betrifft 14 der getesteten Mailserver. b. Eingesetzte Protokolle: Details TLS-Check, Herr Wilfer, 31.3.2016 4

Die Unterstützung sicherer Protokolle lieget bei den Mailserver über 70%. Gleichzeitig unterstützen aber noch mehr als die Hälfte der Mailserver die unsicheren Protokolle SSL V2.0 und SSL V3.0. Bei den Mailservern liegt die Unterstützung der als sicher geltenden TLS 1.1 und TLS 1.2 Protokolle mit 70 %/71 % noch höher als bei den Webseiten. Andererseits werden die als unsicher geltenden Protokolle SSL V2.0 (16%) und SSL V3.0 (54%) immer noch von einer großen Anzahl von Mailservern unterstützt. Das Protokoll TLS 1.0 wird von 98% der Mailserver unterstützt. Auch wenn das Bundesamt für Sicherheit in der Informationstechnik ( BSI ) von einem Einsatz abrät, ist TLS 1.0 in Verbindung mit sicheren Kryptographie Schlüsseln noch vertretbar, um eine verschlüsselte Kommunikation mit älteren Mailservern zu erlauben. c. Kryptographie/Verschlüsselung: Positiv ist, dass mehr als drei Viertel der Mailserver sehr sichere Verschlüsselung anbieten. Gleichzeitig unterstützen fast alle auch noch unsichere Verschlüsselung. In Verbindung mit der hohen Unterstützung des TLS 1.0 Protokolls stellt dies ein signifikantes Sicherheitsrisiko dar. Die große Mehrheit (81%) der Verschlüsselung unterstützenden Mailserver unterstützen immer noch unsichere, 30 % sogar sehr unsichere Kryptographische Verfahren (Cipher Suites). Dies ist deutlich schlechter als bei den Webseiten. Zwar unterstützen zwei Drittel der Mailserver mindestens eines der vom BSI zur ausschließlichen Nutzung empfohlenen Verfahren, aber nur ein kleiner Teil (1%) bietet nur nur sichere Verschlüsselungsverfahren an, obwohl damit mit knapp 99% der Server eine verschlüsselte Kommunikation möglich wäre. Kein einziger Mailserver hält alle Empfehlungen des BSI ein. Im Zusammenhang mit der hohen Unterstützung des TLS 1.0 Protokolls stellt die mehrheitlich unsichere Verschlüsselung wie bei den Webseiten ein hohes Risiko für sogenannte Downgrade Angriffe dar. 4. TLS-Check Kennzahl: Details TLS-Check, Herr Wilfer, 31.3.2016 5

Für die getesteten Webseiten und Mailserver die HTTPS unterstützen wurde aufgrund der Qualität des verwendeten Protokolls, der unterstützten kryptographischen Verfahren und unterstützter Sicherheitsfunktionen die TLS-Check Kennzahl für die IHK Region Stuttgart berechnet. Die Vorgehensweise zur Berechnung der Kennzahl wurde mit Unterstützung des Instituts für Internetsicherheit der Westfälischen Hochschule festgelegt und im Code des TLS-Check implementiert. Eine genaue Dokumentation zur Berechnung ist in der Quelltext- Dokumentation des TLS-Checks zu finden. Die Kennzahl liegt im Q1 2016 bei Webseiten 182 von 440 Mailserver 194 von 440 Bei den in Zukunft erfolgenden Testläufen wird die Veränderung der Kennzahl neben den absoluten Werten einen Aufschluss über die Entwicklung des Internet Sicherheitsstandards geben. Zusammenfassend lässt sich sagen, dass die Mehrheit der Webseiten und Mailserver im Bereich der Kammer weit vom empfohlenen Best Practice Standard entfernt sind und damit einer Vielzahl von Angriffsrisiken ausgesetzt sind. Die Kammer wird hier weiter Aufklärungsarbeit leisten und die Entwicklung der Kennzahl beobachten und kommunizieren. Unternehmen die ihre individuelle Situation prüfen wollen können entweder: den TLS-Check Code auf einem eigenen System installieren und mit ihrem Adressen durchführen frei verfügbare Testsoftware nutzen (Links s.u.) oder einen kompetenten Dienstleister anfragen Details TLS-Check, Herr Wilfer, 31.3.2016 6

Weiterführende Links: TLS-Check Download weitere Informationen: http://www.stuttgart.ihk.de/internet-check Download des Codes und vollständige Dokumentation: https://github.com/tls-check Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/ TLS / SSL Best Practice: https://www.allianz-fuer-cybersicherheit.de/acs/de/_/downloads/bsi-cs_012.html Technische Richtlinie Kryptographische Verfahren, Empfehlungen & Schlüssellängen: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/technischeri chtlinien/tr02102/bsi-tr-02102.html Technische Richtlinie Kryptographische Verfahren, Verwendung von TLS: https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/technischeri chtlinien/tr02102/bsi-tr-02102-2.html Allianz für Cybersicherheit https://www.allianz-fuer-cybersicherheit.de/acs/de/home/startseite.html The Bettercrypto Project https://bettercrypto.org/ Applied Crypto Hardening: https://bettercrypto.org/static/applied-crypto-hardening.pdf Empfehlungen der Internet Engineering Task Force (IETF) für den sicheren Einsatz von TLS: RFC 7525: https://tools.ietf.org/html/rfc7525 Online Test Qualys SSL Labs https://www.ssllabs.com/ssltest/ SSLyze Test zum Download http://www.heise.de/security/artikel/universeller-ssl-tester-sslyze-2470008.html Details TLS-Check, Herr Wilfer, 31.3.2016 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback