Aktuell steigen die Kurse der Kryptowährungen und viele sind wieder im Hype!
Befeuert durch das bevorstehende Bitcoin Halving, glauben alle an hohe Kurse!
Aber Moment mal, was steckt im Wort Kryptowährung?
Richtig, Kryptographie oder Verschlüsselung!
Macht Ihr Euch eigentlich genauso viele Gedanken über die Verschlüsselung der Kommunikation in Eurem Unternehmen, wie über Euren Handel mit Kryptowährungen?
- Wusstet ihr, dass nicht jede verwendete Verschlüsselung sicher ist?
- Wusstet ihr, dass unsichere Verschlüsselung manuell deaktiviert werden muss?
- Wusstet ihr, dass Hacker unsichere Verschlüsselungen erzwingen und dann euer Passwort mitlesen können?
Damit sowas in euren Unternehmensnetzwerk nicht passiert, benötigen eure Systeme Zuwendung, genauso wie eure Trading Plattformen.
Warum bieten die Softwarehersteller nicht einfach “sichere“ Verschlüsselungen an?
Das hat etwas mit der Abwärtskompatibilität zu tun.
Denn wenn ich immer nur die neuesten Verschlüsselungstechniken einsetze, können ältere Systeme die Anwendungen oder Webseiten nicht mehr nutzen!
Na toll! Warum sollte ich das machen, wenn ich damit potentielle Kunden ausschließe?
Man kann in den Logs der jeweiligen Systeme nachschauen, welche alten Verfahren noch verwendet werden und in der Regel ist der Anteil sehr gering.
Das steht in keinem Verhältnis dazu, dass das Risiko eines erfolgreichen Cyberangriffs auf meine Systeme und meine Kunden um ein Vielfaches steigt.
Aber was muss ich tun, damit meine Daten und die meiner Kunden sicher übertragen werden?
Alle Systeme, die Zugangsdaten übermitteln oder sensible Daten übertragen, müssen richtig konfiguriert sein!
Was ist die richtige Konfiguration?
Es ist wichtig zu wissen, dass eine sichere Konfiguration von 3 Teilen einer Verschlüsselung abhängt.
Hashverfahren
- Eine Funktion die festlegt wie die Integrität von Daten verglichen werden kann.
Verschlüsselungsstandard
- Ein Algorithmus, der festlegt, wie ein Verschlüsselungsverfahren funktioniert.
Schlüssel
- Das Passwort, das von einem Verschlüsselungsstandard verwendet wird.
Nur wenn alle 3 Komponenten sicher sind, ist auch die Verschlüsselung der Daten sicher!
Was muss ich auf meinem System einstellen?
Als Hashverfahren hat sich SHA-256 oder höher als derzeit sicherer Standard etabliert.
Als Verschlüsselungsstandard gilt AES-256 mit einer Schlüssellänge von 256 Bit als sicher.
Leider gibt es noch eine weitere Abhängigkeit, denn die Protokolle müssen diese Einstellungen auch unterstützen!
Wie sieht eine sichere Konfiguration für eine SSL-Konfiguration eines Webserver aus?
SSL Konfiguration
- Protokoll TLS 1.2 oder höher mit AES-256 und einer Schlüssellänge von 256Bit.
Da es noch viele unterschiedliche Beispiele gibt und jede Software seine Eigenheiten hat, kann ich folgende Links empfehlen:
Bei Applied Crypto Hardening: bettercrypto.org findet ihr für alle möglichen Systeme Best Practices zur Verschlüsselung.
Zur Konfiguration eines Microsoft IIS Webservers wurde mir folgendes Tool von einem meiner Kunden empfohlen:
Um nicht nur einzelne Systeme zu betrachten, empfehle ich die Entwicklung eines Kryptokonzepts.
Darin wird festgelegt, welche Verfahren im Unternehmen eingesetzt werden sollen, damit nicht alte und unsichere Verfahren verwendet werden.
Ein Kryptokonzept wird auch von vielen Zertifizierungen verlangt, wenn Ihr Fragen habt, wendet Euch gerne an mich.
Fehler in der Verschlüsselung gehören auch zu den TOP 10 FINDINGS IN PENTESTS