Zehn Bausteine: Wie das Web sicherer wird Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


04.12.2011 Simon Hülsbömer*

Zehn Bausteine: Wie das Web sicherer wird

Altbekannte Protokolle und Methoden könnten dafür sorgen, dass das Internet sicherer wird. Hier die zehn wichtigsten.

Warum kann es so viele Betrugsfälle im Internet geben? Warum können Online-Zahlungsprozesse nicht ordnungsgemäß abgewickelt werden? Warum können Online-Bankkonten gehackt oder Mail- und Chatprotokolle abgegriffen werden? Alles fast schon lächerliche Fragen. Sie entstehen schließlich vor dem Hintergrund, dass die offenen Standardprotokolle, die das Web besser absichern, allesamt längst existieren - und das nicht erst seit gestern. Es fehlt lediglich an der politischen und gesellschaftlichen Entschlossenheit, diese Techniken auch einzusetzen.

Trusted Platform Module (TPM) Technische Geräte, die mit dem Internet verbunden sind, müssen mit einer Art Chip ausgerüstet sind, der ihre Vertrauenswürdigkeit vor und während des Bootvorgangs sicherstellt. Das Trusted Platform Module (TPM) der Trusted Computing Group unternimmt genau das und ist bereits in den meisten Enterprise-PCs verbaut. Wo es noch fehlt, sind beispielsweise mobile Geräte oder Netzwerkkomponenten wie Router und Switches.

IPv6 IPv6 löst das unsicherere IPv4 bald als Standardprotokoll für das Packet-Routing im Netz ab. Seit Windows Vista respektive Server 2008 ist es bereits standardmäßig aktiviert. Es scheint wegen der zu Neige gehenden IPv4-Adressen nur noch eine Frage der Zeit, bis IPv6 weltweit von allen Carriern implementiert worden ist. Ein anderes Sicherheitsrisiko in diesem Zusammenhang ist das Border Gateway Protocol (BGP), das zentrale Routingprotokoll, das carrierübergreifenden Datenverkehr erst ermöglicht.

Domain Name System Security Extensions (DNSSEC) Die IETF (Internet Engineering Task Force) beginnt nach zehn Jahren des Wartens nun, die DNSSEC-Spezifikationen zumindest auf Ebene der Top-Level Domains auszurollen. Die Domains auf niedrigerem Level und private DNS-Infrastrukturen folgen später. Mit DNSSEC lassen sich Integrität und Echtheit der per DNS übermittelten Daten sicherstellen.

Security Assertion Markup Language (SAML) SAML ist ein XML-Framework, um sicherheitsrelevante Informationen zu Authentifizierung und Autorisierung zwischen mehreren Sicherheitsbereichen auszutauschen. Viele Autorisierungsdienste wie OpenID und oAuth (beide werden im weiteren Textverlauf vorgestellt) setzen es bereits ein.

OpenID OpenID stellt eine dezentrale Methode zur Verfügung, eine oder mehrere Web-Identitäten über verschiedene Sicherheitsbereiche hinweg zu verwalten. Eine OpenID ist ein Set mit lokal auf dem Client-Gerät gespeicherten individuellen Anmeldedaten. Es steht dem Anwender frei, verschiedene OpenIDs für verschiedene Einsatzgebiete anzulegen. Website-Betreiber dürfen entscheiden, ob sie OpenID-Authentifizierung zulassen oder nicht. Beliebte Web-Identitätsangebote wie Microsoft Live ID sind mittlerweile OpenID-kompatibel. Der große Vorteil von OpenID ist seine weitgehenden Anpassungsmöglichkeiten an die Bedürfnisse des Anwenders, der seine digitalen Identitäten verwalten kann. Einzelne ID-Sets bergen dennoch die Gefahr, dass sie sich nicht mit größeren Single-Sign-On-Umgebungen verstehen. Bis das gesamte Web mit nur einer einzigen Anmeldung durchforstbar wird, wird es noch länger dauern.

Open Authorization (oAuth) Auch oAuth ist ein Authentifizierungsprotokoll, dass digitale Identitäten per Single Sign-On über mehrere Sites hinweg verwaltet. Im Gegensatz zu OpenID ist es aber mehr im Enterprise-Bereich angesiedelt. IT-Sicherheitsverantwortliche in Unternehmen können Inhalten und Services über Sicherheitsrestriktionen hinweg austauschen. Viele beliebte Seiten unterstützen oAuth, unter anderem auch Twitter.

Mehr-Faktor-Authentifizierung Smartcards, Biometrie und andere Mehr-Faktor-Authentifizierungs-Services erlangen zunehmende Akzeptanz im Internet. Google, Hotmail und viele andere unterstützen die Anmeldung mit Einmalpasswörtern, die aufs Handy geschickt werden. Kaum eine Bank verlässt sich beim Online-Banking nur noch auf die Eingabe von Benutzername und Passwort.

Web Services Security-Protokolle Die WS-Security-Protokolle entwickeln die Mehr-Faktor-Authentifizierung weiter. Sie machen es möglich, wiederverwendbare Identitätsnachweise verschiedener Sicherheitsstufen zu erstellen. Diese lassen sich für viele Online-Dienste verwenden. Auch wenn sich diese Technik noch am Anfang ihrer Entwicklung befindet, gibt es schon WS-Security-Unterprotokolle. So erlaubt WS-Trust das Ausliefern, Erneuern und Validieren von Sicherheits-Tokens, besonders im Kontext des Sicherheitsbereichs-übergreifenden Datentransfers. WS-Federation ermöglicht es, Idenditäten bereichsübergreifend zu verwenden. WS-Policy legt die Regeln fest, nach denen die Identitäten geprüft und ihre Echtheit bestätigt wird - beispielsweise durch zwei verschiedene Faktoren, anonym und so weiter.

Interface for Metadata Access Points (IF-MAP) Neben dem TPM hat die Trusted Computing Group die IF-MAP-Spezifikation entwickelt. Die offene Standard-Schnittstelle, derzeit in Version 2 vorliegend, ist dazu gedacht, den Netzzugang verschiedenster Geräte zu regeln. Einige, gerade für Remote-Lösungen wichtige Funktionen fehlen aber noch. Verliert beispielsweise in autorisierter Nutzer aus beliebigen Gründen die Kontrolle über ein Gerät (Malware-Attacke, Abwesenheit etc.), sollten sofort Maßnahmen ergriffen werden.

Sicherheit auf Anwendungsebene Web-Entwickler zeichnen nicht für das Design und die Usability, sondern auch die Sicherheit ihrer Services verantwortlich. Der Einsatz verlässlicher Protokolle und Identitätsmanager sollte daher zum Standard werden. Schließlich nutzt die Mehrzahl heutiger Internet-Schädlinge Schwachstellen auf Anwendungsebene aus. Stimmt aber die Absicherung davor bereits, entsteht gar nicht erst die Möglichkeit, zu den Applikationen vorzudringen, weil die sicheren Protokolle dies verhindern.

Die Technologie ist also da… … nur muss sie auch verwendet werden. Webservice-Betreiber und Provider sind gleichermaßen gefordert.

Der Artikel basiert auf dem Beitrag "10 building blocks for securing the Internet today" von Roger Grimes, erschienen bei unserer US-Schwesterpublikation InfoWorld.

*Der Autor ist Redakteur der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr

Hosted by:    Security Monitoring by: