Rückblick auf 30 Jahre Internetsicherheit
Handlungsbedarf für sichere Internetnutzung
Fortsetzung des Artikels von Teil 1
Sicherheitsstandards weiter auf dem Vormarsch
HTTPS sorgt als Transportverschlüsselung über SSL und TLS also bereits für ein grundlegendes Maß an Sicherheit. Analog dazu würde eine einheitliche Verschlüsselung von DNS-Abfragen Unternehmen mehr Sicherheit und Privatsphäre im täglichen Umgang mit dem World Wide Web geben. Kämen wir an den Punkt einer allgemein einsetzbaren und akzeptierten Technik, wäre das der entscheidende Schritt in Richtung einer weiteren bahnbrechenden Internetentwicklung. In puncto DNS-Verkehr stehen aktuell verschiedene Ansätze zur Debatte. Dazu zählen DNSCrypt, DNS over TLS (DoT) und DNS over HTTPS (DoH). Diese schützen vor allem vor „Man in the Middle“-Attacken.
DNSCrypt ist ein Protokoll, das die Kommunikation zwischen dem DNS-Client und dem DNS-Resolver authentifiziert. Das Verfahren verwendet kryptografische Signaturen und stellt so sicher, dass die Antworten vom gewählten DNS-Resolver nicht manipuliert sind. Im DoH-Verfahren läuft der Datenverkehr über eine verschlüsselte HTTPS-Verbindung zu DoH-Resolvern. Dadurch versteckt das Protokoll den eigentlichen HTTPS-Verkehr und schützt ihn vor Angriffen. DoT bettet die ursprüngliche DNS-Nachricht direkt in den sicheren TLS-Kanal ein, anstatt HTTPS zu nutzen. Von außen lässt sich dann der abgefragte Name weder feststellen noch ändern.
DoT und DoH sind zwar wichtig, aber bislang noch nicht universell im Einsatz, da viele ISP-Resolver die Protokolle schlichtweg noch nicht unterstützen. In Sachen DNS-Standards beim E-Mail-Verkehr sieht es anders aus. Hier bewahren bereits in die Anwendung integrierte DNS-Standards wie DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) und Domain-based Message Authentication Reporting and Conformance (DMARC) den Mail-Verkehr vor Spoofing-Attacken. Um sicherzustellen, dass der E-Mail-Verkehr abgesichert ist, sollten Unternehmen regelmäßig die Konfigurationen ihrer Anwendung überprüfen.
Browser-Isolation
Damit auch die Browser-Nutzung trotz des Mangels an zeitgemäßen Sicherheitsstandards über den HTTPS-Standard geschützt ist, sollten Nutzende auf die Browser-Isolation zurückgreifen. Ein solche Isolation folgt dem Zero-Trust-Ansatz. Für die Browser-Interaktion bedeutet das, dass kein Vorgang zwischen Client und Server ungeprüft bleibt. Das Konzept trennt dabei den Web-Browser vom Endgerät. Es bewahrt Unternehmen so vor Browser-zentrierten Attacken, da dieser durch die neue Lücke nicht in Reichweite der Angreifer liegt. Eine solche Trennung kann entweder lokal erfolgen, oder Cloud-basiert. Lokale Trennung verlagert das Risiko an einen anderen Endpunkt – Cloud-basierte Isolation trennt das Unternehmensnetzwerk, ohne an Compliance oder IT-Kontrolle einzubüßen.
Fazit
Mangelnde DNS-Verschlüsselung ist eine der größten, aktuellen Herausforderungen im Umgang mit dem Internet. Bereits in den Anfangsjahren des Internets sorgte der Wechsel von HTTP zu HTTPS für eine Verbesserung der Sicherheitsstandards. Diese reichen heute allerdings nicht mehr aus, um sensible Daten im Netz vor Attacken zu schützen. Zwar gibt es mit Ansätzen wie DNSCrypt, DNS over TLS (DoT) und DNS over HTTPS (DoH) bereits Lösungsversuche – eine flächendeckende Sicherheitsbarriere für Browser und E-Mail-Verkehr bleibt jedoch bislang aus. Fehlende DNS-Verschlüsselung ist bei weitem nicht das einzige Problem in der Internetnutzung, wenn auch eines der größten. Doch gerade, weil eine einheitliche DNS-Lösung bislang fehlt, sollten Unternehmen das Potenzial von Cloud-basierten Sicherheitslösung erkennen und nutzen. Das beste Beispiel hierfür ist Remote Browser Isolation. Innerhalb der Cloud errichtet der Service eine Barriere zwischen Browser und Endgerät und schützen so sensible Daten vor Angriffen.
Stefan Henke ist Head of DACH bei Cloudflare.
- Handlungsbedarf für sichere Internetnutzung
- Sicherheitsstandards weiter auf dem Vormarsch
Lesen Sie mehr zum Thema
