Die in den vergangenen Wochen erneut in den Fokus gerückte Sicherheitslücke HTTPoxy macht deutlich, dass die Basissicherheit des Internets noch immer nicht ausreichend ist. Statt an den Symptomen herumzudoktern, sollten Unternehmen grundlegende Maßnahmen ergreifen.
1. NEWS / PRESSEMITTEILUNG
Seite 1
Entrust Datacard empfiehlt flächendeckendes HTTPS
Die in den vergangenen Wochen erneut in den Fokus gerückte Sicherheitslücke HTTPoxy macht
deutlich, dass die Basissicherheit des Internets noch immer nicht ausreichend ist. Statt an den
Symptomen herumzudoktern, sollten Unternehmen grundlegende Maßnahmen ergreifen.
Minneapolis/München, 29. September 2016 – Entrust Datacard, ein
führender Anbieter von Identitäts- und Sicherheitstechnologien,
empfiehlt mit Blick auf die Ausweitung der Bedrohungslage die
unternehmensweite Nutzung von HTTPS.
In regelmäßigen Abständen nutzen Angreifer Schwachstellen bei der
unverschlüsselten Übertragung von Informationen aus und entwickeln
entsprechende Angriffsmuster. In diesem Sommer wurde
beispielweise ausführlich über die Nutzung einer Schwachstelle mit
dem harmlosen Namen HTTPoxy berichtet. Diese Schwachstelle
erlaubt es einem Angreifer, den ausgehenden Datenverkehr eines
Servers umzuleiten und so mitzulesen. Dazu muss der Angreifer
lediglich einen bestimmten HTTP-Header an den Server schicken.
Diese Sicherheitslücke ist zwar seit mehr als fünfzehn Jahren bekannt
und dennoch klafft diese Lücke nach wie vor in vielen Server-Konfigurationen.
Diese Sicherheitslücke ist mit geringem Aufwand zu schließen (siehe Link unten), dennoch macht sie ein
grundlegendes Problem deutlich: Die enorme Anzahl an Sicherheitslücken macht die manuelle Bearbeitung
unsicher. Immer wieder werden bekannte Lücken schlichtweg vergessen. Oberste Priorität sollten daher
Maßnahmen sein, die die Grundsicherheit des Netzes auf breiter Front erhöhen und eine Vielzahl von
Schwachstellen auf einen Schlag schließen. Statt sich auf das Kurieren von Symptomen zu fokussieren, sollten
die Ursachen bekämpft werden. Dieses Vorgehen würde nachhaltig wirken und so zumindest mittelfristig
Budgets und Nerven schonen.
Eine dieser Maßnahmen ist die flächendeckende Einführung von HTTPS auf allen internen wie externen Servern.
Obwohl Internetgrößen wie Google es bereits seit Jahren einfordern, wird HTTPS noch immer nicht
flächendeckend eingesetzt. Die breite Einführung von HTTPS würde schlagartig die Sicherheit aller Sites erhöhen,
ohne dass es eine Rolle spielt, welche Inhalte dort tatsächlich angeboten werden. HTTPS vereitelt neben HTTPoxy
auch eine ganze Reihe weiterer Angriffe wie SSLstrip und Firesheep. Es schützt zudem die Privatsphäre der
Nutzer. Weiherhin wird durch HTTP Strict Transport Security (HSTS) die Aushebelung der
Verbindungsverschlüsselung durch Downgrade-Attacken verhindert und das Session Hacking unterbunden.
Zusätzlich würde die Verbreitung HTTP/2 gefördert. Auch auf die SEO-Eigenschaften mit Blick auf das eigene
Google-Ranking wirkt sich HTTPS positiv aus.
„Die grundlegende Sicherheit des Internets würde durch die flächendeckende Einführung von HTTPS deutlich
verbessert. Es bleibt also nur an die Verantwortlichen zu appellieren, ihre Server mit HTTPS auszustatten“, sagt
Lars Plantzen, Account Manager Central Europe bei Entrust Datacard. „Auch, wenn es auf den ersten Blick
vielleicht etwas altruistisch wirkt, profitiert mittelfristig jeder einzelne davon, da sich die Grundsicherheit des
gesamten Internets deutlich erhöhen würde.“
Entrust Datacard präsentiert sein gesamtes Produktportfolio im Bereich Identity und Security vom 18. bis 20.
Oktober auf der IT-Security Messe it-sa in Nürnberg. Auf der größten Spezialmesse für IT-Sicherheit zeigt Entrust
Datacard insbesondere die bekannten Zertifikate, eine unternehmensweite Zertifikatsverwaltung sowie
Lösungen zur IoT-Sicherheit und Enterprise-PKI. Besucher finden Entrust Datacard in Halle 12 am
SSL Zertifikate schützen vor httpoxy
und anderen Angriffen