Sicher verschlüsselte Verbindungen bei Unternehmen im Südwesten noch Mangelware
Die Industrie- und Handelskammer Stuttgart hat ihren Mitgliedsunternehmen in einem groß angelegten TLS-Test auf den Zahn gefühlt und dabei ganz schön viele Löcher bei der Verschlüsselung von Web- und Mail-Verbindungen entdeckt.
(Bild: dpa, Daniel Reinhardt)
- Monika Ermert
- Jürgen Schmidt
Viele Web- und Mailserver von Unternehmen unterstützen heute verschlüsselte Verbindungen – im Prinzip. Ein von der Industrie- und Handelskammer (IHK) Stuttgart initiierter Check zum Einsatz von Transport Layer Security (TLS) ergab, dass nicht einmal die kritische Heartbleed-Lücke vollständig beseitigt ist – 14 Mail- und 8 Webserver im Ländle sind dafür nach wie vor anfällig. Mit dem Test wolle man bei den Mitgliedern mehr Bewusstsein für die Sicherheitsprobleme schaffen, teilte die IHK mit.
6760 der 16383 Webserver der IHK Mitgliedsunternehmen bieten laut den aktuellen Zahlen prinzipiell verschlüsselte Verbindungen, das sind immerhin 41 Prozent. Die sichere Variante des HTTP-Protokolls, https ist also grundsätzlich auf dem Weg zum Standard. Bei den 9363 getesteten Mailservern sind es sogar 79 Prozent, die startTLS unterstützten. Und 61 Prozent der Web- und 70 Prozent der Mailserver bieten dabei sogar schon das aktuelle TLS 1.2 an. Damit hören die guten Nachrichten aber bereits auf.
Unsichere TLS-Varianten und Kryptosuiten
Dass niemand die strengen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Verschlüsselung des Datenverkehrs (TR-02102-2) vollständig umsetzt, verwundert nicht wirklich; heise Security hatte die bereits in "Das BSI und der Elfenbeinturm" als realitätsfern gegeißelt. Auch die BSI-Server unterstützen nach wie vor das darin verbotene TLS 1.0.
Das Hauptproblem sehen die Studienautoren darin, dass im großen Stil unsichere TLS-Varianten und schwache kryptographische Algorithmen wie RC4 (74 Prozent der Webserver, 81 Prozent der Mailserver) zugelassen und genutzt werden. Aber auch die kaputten Protokolle SSLv2 und SSLv3 sind noch relativ weit verbreitet (5 beziehungsweise 25 Prozent). Insbesondere SSLv2 gilt als Scheunentor für Angriffe – und von den untersuchten Mail-Servern bieten das ganze 16 Prozent noch an. Die Drown-Lücke zeigte eindrucksvoll, welche Konsequenzen das haben kann.
Sicherheit juristisch geboten
Insgesamt gibt es also bei den Unternehmen jede Menge Nachholbedarf. Andreas Richter, Hauptgeschäftsführer der IHK Region, erinnerte dabei daran, dass laut Bundesdatenschutz- und Telemediengesetz Unternehmen verpflichtet sind, technische und organisatorische Maßnahmen zur IT-Sicherheit zu treffen, so die IHK. Deshalb will man die Unternehmen in den kommenden Monaten durch Veranstaltungen verstärkt auf die Probleme aufmerksam machen.
Die Benachrichtigung derjenigen, die etwa noch Heartbleed-angreifbar sind, will man aus Datenschutzgründen allerdings den Datenschutzbehörden überlassen, die auf eigene Checks zurückgreifen. IHK Stuttgart und Studienmacher hoffen allerdings auch, dass der eigens entwickelte und als Open-Source bereit gestellte TLS-Check nicht nur in eigenen Quartals-Checks, sondern auch bei anderen IHKs oder Verbänden breite Anwendung findet. (ju)
