Die in den vergangenen Wochen erneut in den Fokus gerückte Sicherheitslücke HTTPoxy macht deutlich, dass die Basissicherheit des Internets noch immer nicht ausreichend ist. Statt an den Symptomen herumzudoktern, sollten Unternehmen grundlegende Maßnahmen ergreifen.

1. NEWS / PRESSEMITTEILUNG
Seite 1
Entrust Datacard empfiehlt flächendeckendes HTTPS
Die in den vergangenen Wochen erneut in den Fokus gerückte Sicherheitslücke HTTPoxy macht
deutlich, dass die Basissicherheit des Internets noch immer nicht ausreichend ist. Statt an den
Symptomen herumzudoktern, sollten Unternehmen grundlegende Maßnahmen ergreifen.
Minneapolis/München, 29. September 2016 – Entrust Datacard, ein
führender Anbieter von Identitäts- und Sicherheitstechnologien,
empfiehlt mit Blick auf die Ausweitung der Bedrohungslage die
unternehmensweite Nutzung von HTTPS.
In regelmäßigen Abständen nutzen Angreifer Schwachstellen bei der
unverschlüsselten Übertragung von Informationen aus und entwickeln
entsprechende Angriffsmuster. In diesem Sommer wurde
beispielweise ausführlich über die Nutzung einer Schwachstelle mit
dem harmlosen Namen HTTPoxy berichtet. Diese Schwachstelle
erlaubt es einem Angreifer, den ausgehenden Datenverkehr eines
Servers umzuleiten und so mitzulesen. Dazu muss der Angreifer
lediglich einen bestimmten HTTP-Header an den Server schicken.
Diese Sicherheitslücke ist zwar seit mehr als fünfzehn Jahren bekannt
und dennoch klafft diese Lücke nach wie vor in vielen Server-Konfigurationen.
Diese Sicherheitslücke ist mit geringem Aufwand zu schließen (siehe Link unten), dennoch macht sie ein
grundlegendes Problem deutlich: Die enorme Anzahl an Sicherheitslücken macht die manuelle Bearbeitung
unsicher. Immer wieder werden bekannte Lücken schlichtweg vergessen. Oberste Priorität sollten daher
Maßnahmen sein, die die Grundsicherheit des Netzes auf breiter Front erhöhen und eine Vielzahl von
Schwachstellen auf einen Schlag schließen. Statt sich auf das Kurieren von Symptomen zu fokussieren, sollten
die Ursachen bekämpft werden. Dieses Vorgehen würde nachhaltig wirken und so zumindest mittelfristig
Budgets und Nerven schonen.
Eine dieser Maßnahmen ist die flächendeckende Einführung von HTTPS auf allen internen wie externen Servern.
Obwohl Internetgrößen wie Google es bereits seit Jahren einfordern, wird HTTPS noch immer nicht
flächendeckend eingesetzt. Die breite Einführung von HTTPS würde schlagartig die Sicherheit aller Sites erhöhen,
ohne dass es eine Rolle spielt, welche Inhalte dort tatsächlich angeboten werden. HTTPS vereitelt neben HTTPoxy
auch eine ganze Reihe weiterer Angriffe wie SSLstrip und Firesheep. Es schützt zudem die Privatsphäre der
Nutzer. Weiherhin wird durch HTTP Strict Transport Security (HSTS) die Aushebelung der
Verbindungsverschlüsselung durch Downgrade-Attacken verhindert und das Session Hacking unterbunden.
Zusätzlich würde die Verbreitung HTTP/2 gefördert. Auch auf die SEO-Eigenschaften mit Blick auf das eigene
Google-Ranking wirkt sich HTTPS positiv aus.
„Die grundlegende Sicherheit des Internets würde durch die flächendeckende Einführung von HTTPS deutlich
verbessert. Es bleibt also nur an die Verantwortlichen zu appellieren, ihre Server mit HTTPS auszustatten“, sagt
Lars Plantzen, Account Manager Central Europe bei Entrust Datacard. „Auch, wenn es auf den ersten Blick
vielleicht etwas altruistisch wirkt, profitiert mittelfristig jeder einzelne davon, da sich die Grundsicherheit des
gesamten Internets deutlich erhöhen würde.“
Entrust Datacard präsentiert sein gesamtes Produktportfolio im Bereich Identity und Security vom 18. bis 20.
Oktober auf der IT-Security Messe it-sa in Nürnberg. Auf der größten Spezialmesse für IT-Sicherheit zeigt Entrust
Datacard insbesondere die bekannten Zertifikate, eine unternehmensweite Zertifikatsverwaltung sowie
Lösungen zur IoT-Sicherheit und Enterprise-PKI. Besucher finden Entrust Datacard in Halle 12 am
SSL Zertifikate schützen vor httpoxy
und anderen Angriffen

2. NEWS / PRESSEMITTEILUNG
Seite 2
Gemeinschaftsstand des Distributors ectacom (Stand 12.0-562). Gerne stellt Entrust Datacard Besuchern auch
ein kostenloses Messeticket zur Verfügung. Zur Terminvereinbarung wenden sich Interessenten bitte per Email
an Herrn Lars Plantzen unter lars.plantzen(at)entrust.com.
Eine detailliertere Beschreibung von HTTPoxy und wie man die Sicherheitslücke schließt, findet man in
folgendem Beitrag im IDentityON-Blog von Entrust: https://www.entrust.com/httpoxy-another-reason-https-
everywhere/
Mehr zum Thema unternehmensweites HTTPS finden Interessenten auf der Website
https://www.entrust.com/ssl-certificates/
Keywords
HTTPS, HTTPoxy, Authentifizierung, Identity, SSL, SSL Security, Verschlüsselung, Zertifikat, Zertifikatsverwaltung, Server-
Zertifikat
Über Entrust Datacard
Entrust Datacard bietet Identitäts- und Sicherheitstechnologien, die eine sichere und zuverlässige Nutzung von
Informationen im E-Commerce und E-Government erlauben, den Zugang zu Unternehmensnetzwerken und Webseiten
schützen sowie den geordneten Grenzübertritt sichern. Die Lösungen erstrecken sich von Reisepässen, Ausweisen und
Zahlkarten in der physischen Welt bis hin zu Authentifizierung, Zertifikaten und sicherer Kommunikation im digitalen
Umfeld.
Entrust Datacard stellt jeden Tag mehr als 10 Millionen Identitätsnachweise oder Zahlkarten aus und sichert jedes Jahr
Milliarden von Online-Transaktionen. Entrust Datacard ist führend im Markt für Identity-based Enterprise Security Solutions
und löst Herausforderungen seiner Kunden in den Bereichen Cloud Security, E-Commerce Security, Mobile Device Security,
Mail Security und Web Security.
Die Software Authentication Plattform Entrust Identity Gard bietet Authentifizierung (Authentication) und Identity
Assurance und unterstützt alle gängigen Formen wie Smartcards, Logins/Passwords, mobile Zertifikate und Token, Mobile
Smart Credential und Transaction Signing. Entrust Datacard bietet ein bestmögliches Portfolio an SSL-Zertifikaten mit u.a.
EV-Multi-Domain SSL, UC-Multi-Domain SSL, Wildcard SSL sowie eine professionelle Zertifikatsverwaltung. Die Public-Key-
Infrastruktur (PKI) von Entrust Datacard ist die weitverbreitetste, kommerzielle PKI weltweit.
Mit über 2.000 Mitarbeitenden an über 30 Standorten weltweit und einem Netzwerk aus zuverlässigen globalen Partnern
betreut Entrust Datacard seine Kunden in 150 Ländern weltweit. Zu den Kunden gehören u.a. Adidas, Airbus, Bertelsmann,
bp, Ernst&Young, die Europäische Zentralbank, KPMG, Lufthansa Technik, Mastercard, Santander, UBS und Volkswagen.
Weitere Informationen zum Unternehmen und dem Produktangebot unter www.entrustdatacard.com.
Unternehmenskontakt
Herr Lars Plantzen, Account Manager Central Europe, T +44 1189 533018, lars.plantzen(at)entrust.com
Entrust Datacard, Terminalstraße Mitte 18, D-85356 München-Flughafen, www.entrustdatacard.com
Pressekontakt
Herr Bernd Hoeck, Managing Partner, T +49 7721 9461 220, bernd.hoeck(at)bloodsugarmagic.com
bloodsugarmagic GmbH & Co. KG, Gerberstr. 63, D-78050 Villingen-Schwenningen, www.bloodsugarmagic.com