Anzeige der Artikel nach Schlagwörtern: sicherheit

Einleitung

Zusammen mit der ständig wachsenden Zahl von Cyber-Angriffen müssen Organisationen Maßnahmen zum Schutz ihrer Vermögenswerte, Daten und letztendlich auch Reputation ergreifen. Eines der Instrumente, die sie dabei einsetzen, sind DMZs oder Netzwerke entmilitarisierter Zonen.

In diesem Artikel vermitteln wir Ihnen einen Überblick über demilitarisierte Zonen: was sie sind, welche Vorteile sie bieten und wie sie konfiguriert werden können.

Was ist ein Demilitarisierte Zone?

In der Computersicherheit wird für kleine und mittlere Netzwerke häufig eine Firewall verwendet, die alle Anfragen aus dem internen Netzwerk (LAN) an das Internet und vom Internet an das LAN abwickelt.

Diese Firewall ist der einzige Schutz, den das interne Netzwerk in diesen Konfigurationen hat; sie handhabt jedes NAT (Network Address Translation), indem sie Anfragen weiterleitet und filtert, wie sie es für notwendig erachtet.

Für kleine Unternehmen ist dies normalerweise eine gute Einrichtung. Aber für große Unternehmen ist es nicht so effektiv, alle Server hinter eine Firewall zu positionieren.

Aus diesem Grund werden Sicherheitsnetzwerke mit einem Perimeter (auch entmilitarisierte Zonennetzwerke oder DMZs genannt) verwendet, um das interne Netzwerk von der Außenwelt zu trennen. Auf diese Weise können Außenstehende auf die öffentlichen Informationen in der DMZ zugreifen, während die privaten, proprietären Informationen sicher hinter der DMZ im internen Netzwerk aufbewahrt werden.

Auf diese Weise können die Angreifer im Falle einer Sicherheitsverletzung nur auf die Server im DMZ-Netzwerk zugreifen. Dies kann sehr lästig sein und zu Ausfallzeiten führen, aber zumindest die sensiblen Informationen werden sicher verwahrt.

Hier sind einige Beispiele für Dienste, die Sie im Netzwerk der demilitarisierten Zone aufbewahren können:

• Anwendungs-Gateways
• Authentifizierungsdienste
• das Front-End Ihrer Anwendung (das Back-End sollte sicher hinter der DMZ aufbewahrt werden)
• Dienste wie HTTP für die allgemeine öffentliche Nutzung, sicheres SMTP, sicheres FTP und sicheres Telnet
• Mail-Server
• Test- und Staging-Server
• VoIP-Server
• VPN-Endpunkte
• Webserver mit öffentlichen Informationen
  

   

Sinn und Zweck ein DMZ für das Netzwerk zu verwenden

Ein DMZ-Server schützt Ihr internes Netzwerk vor externen Zugriffen. Es tut dies, indem er die öffentlichen Dienste (für die jede Einheit aus dem Internet eine Verbindung zu Ihren Servern herstellen muss) von den lokalen, privaten LAN-Rechnern in Ihrem Netzwerk isoliert.

Die gebräuchlichste Methode zur Implementierung einer solchen Teilung ist die Einrichtung einer Firewall mit 3 installierten Netzwerkschnittstellen. Die erste wird für die Internetverbindung, die zweite für das DMZ-Netzwerk und die dritte für das private LAN verwendet.

Alle eingehenden Verbindungen werden automatisch an den DMZ-Server weitergeleitet, da im privaten LAN keine Dienste laufen und keine Verbindung hergestellt werden kann. Auf diese Weise trägt die Konfiguration eines entmilitarisierten Zonennetzwerks dazu bei, das LAN von jeglichen Internetangriffen zu isolieren.

Wie konfiguriert man eine demilitarisierter Zonen?

Zuerst müssen Sie entscheiden, welche Dienste auf jedem Rechner laufen sollen. Der DMZ-Server befindet sich normalerweise in einem anderen Netzwerksegment, sowohl physisch als auch logisch. Das bedeutet, dass Sie eine separate Maschine benutzen müssen, um die Dienste zu hosten, die Sie öffentlich machen wollen (wie DNS, Web, Mail etc.).

Brauchen Sie eine eigene App für iOS & Android?

Gerne helfen wir Ihnen als App Agentur in allen Belangen Rund um das Thema App-Entwicklung für die Plattformen iOS, iPadOS & Android. Ob Sie nun eine App mit Netzwerk-Features benötigen oder um bestimmte Tätigkeiten an das mobile Arbeiten anzupassen, bei uns sind Sie richtig! Wir entwickeln Apps sowohl für kleine als auch für größere Unternehmen an.  Rufen Sie uns bitte unter 0176 75191818 an oder senden Sie uns eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Gerne unterbreiten wir Ihnen ein individuelles Angebot!

Einleitung

Was sind Ihre ersten Gedanken, wenn Sie das Wort "USV" hören? Sollten es bei Ihnen die Assoziation "Datensicherheit" wecken, liegen Sie vollkommen richtig. 

Hierbei fungiert die USV als eine Alternative im Kontext von Datensicherheit insofern, dass Komplikationen nicht nur den LAN Bereich tangieren, sondern eben auch die Stromversorgung. 

Um auf das Thema "Schutzziele der Informationssicherheit und IT" zurückzukommen, benennen wir hier nochmal das folgende Kriterium, welches auf die USV zutrifft: 

• Verfügbarkeit/Availability: Die Daten und Systeme müssen zur definierten Zeiten verfügbar bzw. abrufbar sein, daher ist es notwendig, diese mit Backups zu sichern, eine USV (Unterbrechungsfreie Stromversorgung) zu besitzen und Systeme regelmäßig zu warten. Dies sind nur ein paar der Beispiele, um dieses Ziel zu erreichen.

Bezüglich Datenverluste und Ausfälle von Rechnern wegen Netzspannungsprobleme, ist hier die Statistik eindeutig: 

• nahezu 50% sind darauf zurückzuführen
• bei Unterspannung ca. 60%
• bei Überspannung ca. 30%
• bei Hochspannungspulsen ca. 8%

Dies bringt uns zum Thema, welche Konditionen eine USV (Unterbrechungsfreie Stromversorgung) zu effektuieren hat: 

• Protektion von Spannungsverlust sowie Unterspannung
• Protektion vor Netzüberspannung
• Protektion vor energiereichen Störimpulsen 

Die drei Typen der USV

1. VFD (Voltage Frequency Dependent from Mains Supply) - Standby- oder Offline-USV.
2. VI (Voltage Independent from Mains Supply) - Line Interactive-USV oder Netzinteraktive-USV.
3. VFI (Voltage and Frequency Independent from Mains Supply) - online-USV.

1. Die VFD/OFF-Line (Standby) USV

Protektion:

• Stromausfall / Netzausfall
• Spannungseinbruch / Spannungsabfall
• Spannungsstösse

Im Normalfall wird der Strom durch die USV ohne Spannungswandlung an die angeschlossenen Geräte (Rechner) weitergeleitet. Treten Spannungsschwankungen oder Spannungsausfälle auf, schaltet die Offline - USV automatisch auf Batteriebetrieb um. Die Umschaltung auf Akkubetrieb erfolgt innerhalb von ca. 2 - 6 ms.

2. Die VI (Voltage Independent from Mains Supply) USV

Die "Line Interactive-USV oder Netzinteraktive-USV" schützt gegen:

• totalen Netzausfall
• Netzspannungen 
• Schwankungen

Ein Spannungsregler, der zwischen dem Netzeingang und dem Verbraucher geschalten ist, ermöglicht dies. Als Folge dessen fungiert diese Art von USV vor allem in Peripherien mit zahlreich auftretenden Spannungsschwankungen.  Des Weiteren liegt der „Wirkungsgrad“ bzw. die Effizienz zwischen 95% und 98%, was wiederum für eine hohe Absicherung für Computersysteme, TK-(Telefon-)Anlagen oder Netzwerke spricht, aber für Systeme und Anwendungen, welche hochsensibel sind, eher nicht geeignet sind.

3. VFI (Voltage and Frequency Independent from Mains Supply) - online USV

Die VFI-USV alias "Online-USV“, garantiert den höchsten Schutz. Diese kompensiert die so genannten Schwankungen der Netzspannung, aber auch der Netzfrequenz. Der Vorteil liegt darin begründet, dass bei einem Netzausfall nicht wie bei anderen Arten der USV umgeschalten werden muss und in Relation dazu keine Latenz entsteht. Dieses Prinzip äußert sich darin, dass es die Wandlung von Wechsel- in Gleichspannung und von Gleich- in Wechselspannung realisiert. Diese Art von USV findet Verwendung in der Daten- und Serverkommunikation, ist jedoch vom Wirkungsgrad bzw. Effizienz nur bei 90% und geht mit einer hohen Belastung der Akkus einher. Daraus resultiert eine Lebensdauer von  3-4 Jahren. 

Sie haben Fragen in Bezug auf Ihr Netzwerk oder der IT im Allgmeinen?

Als professionelles und prädestiniertes IT-Systemhaus in München sind wir exakt der richtige Ansprechpartner für Sie, wenn es um die Frage des Netzwerkes oder der geeigneten IT-Infrastruktur bei Ihnen geht. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Kleine Netzwerk-Topologien

Die Mehrheit der Unternehmen ist klein; daher ist es nicht überraschend, dass die Mehrheit der Unternehmensnetzwerke ebenfalls klein ist.

Ein kleines Netzwerkdesign ist in der Regel einfach. Die Anzahl und Art der enthaltenen Geräte sind im Vergleich zu einem größeren Netzwerk deutlich reduziert.

Dieses kleine Netzwerk erfordert einen Router, einen Switch und einen drahtlosen Zugangspunkt, um drahtgebundene und drahtlose Benutzer, ein IP-Telefon, einen Drucker und einen Server zu verbinden. Kleine Netzwerke verfügen in der Regel über eine einzige WAN-Verbindung, die über DSL, Kabel oder eine Ethernet-Verbindung bereitgestellt wird.

Große Netzwerke erfordern eine IT-Abteilung zur Wartung, Sicherung und Fehlerbehebung von Netzwerkgeräten und zum Schutz von Unternehmensdaten. Die Verwaltung eines kleinen Netzwerks erfordert viele der gleichen Fähigkeiten, die für die Verwaltung eines größeren Netzwerks erforderlich sind. Kleine Netzwerke werden von einem lokalen IT-Techniker oder einem beauftragten Fachmann verwaltet.

Geräteauswahl für ein kleines Netzwerk

Wie große Netzwerke erfordern auch kleine Netzwerke Planung und Design, um den Anforderungen der Benutzer gerecht zu werden. Die Planung stellt sicher, dass alle Anforderungen, Kostenfaktoren und Bereitstellungsoptionen gebührend berücksichtigt werden.

Eine der ersten Designüberlegungen ist die Art der Zwischengeräte, die zur Unterstützung des Netzwerks verwendet werden sollen.

Kosten

Die Kosten eines Switches oder Routers werden durch dessen Kapazität und Funktionen bestimmt. Dazu gehören die Anzahl und Typen der verfügbaren Ports und die Geschwindigkeit der Backplane. Andere Faktoren, die sich auf die Kosten auswirken, sind Netzwerkmanagementfunktionen, eingebettete Sicherheitstechnologien und optionale fortschrittliche Switching-Technologien. Die Kosten für die Kabelwege, die für den Anschluss jedes Geräts im Netzwerk erforderlich sind, müssen ebenfalls berücksichtigt werden. Ein weiteres Schlüsselelement, das sich auf die Kostenerwägungen auswirkt, ist der Umfang der in das Netzwerk einzubauenden Redundanz.

Geschwindigkeit und Arten von Ports/Schnittstellen

Die Auswahl der Anzahl und Art der Ports eines Routers oder Switches ist eine sehr wesentliche Entscheidung. Neuere Computer haben eingebaute 1-Gbit/s-NICs. Einige Server verfügen möglicherweise sogar über 10-Gbit/s-Ports. Obwohl es teurer ist, ermöglicht die Wahl von Layer-2-Geräten, die höhere Geschwindigkeiten aufnehmen können, eine Weiterentwicklung des Netzwerks, ohne dass zentrale Geräte ersetzt werden müssen.

Erweiterbarkeit

Netzwerkgeräte sind in festen und modularen physischen Konfigurationen erhältlich. Geräte mit fester Konfiguration haben eine bestimmte Anzahl und Art von Anschlüssen oder Schnittstellen und können nicht erweitert werden. Modulare Geräte verfügen über Erweiterungssteckplätze, um bei sich ändernden Anforderungen neue Module hinzuzufügen. Switches sind mit zusätzlichen Ports für Hochgeschwindigkeits-Uplinks erhältlich. Router können zur Verbindung verschiedener Arten von Netzwerken verwendet werden. Es muss darauf geachtet werden, die geeigneten Module und Schnittstellen für die spezifischen Medien auszuwählen.

Funktionen und Dienste des Betriebssystems

Netzwerkgeräte müssen über Betriebssysteme verfügen, die die Anforderungen der Organisation wie die folgenden unterstützen können:

• • Layer-3-Switching
  • Netzwerk-Adressübersetzung (NAT)
  • Dynamisches Host-Konfigurationsprotokoll (DHCP)
  • Sicherheit
  • Dienstqualität (QoS)
  • Sprachübertragung über IP (VoIP)

Sie haben Fragen bezüglich der Komponenten Ihres Netzwerkes?

Als professionelles und bekanntes IT-Systemhaus in München sind wir genau der richtige Ansprechpartner für Sie, wenn es sich dabei um das Thema IT und das damit verbundene Netzwerk handelt. 

Wir freuen uns auf Ihren Anruf unter der Rufnummer 0176 75 19 18 18 oder via E-Mail an: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Rekapitulation: 

Auf Basis IEEE 802.11 WLAN ist es mit minimalem Aufwand möglich, schnell eine drahtlose Verbindung aufzubauen und bietet zusätzlich eine hohe Flexibilität in der Administration und Konfiguration.

Dies geht jedoch mit der Möglichkeit der Angreifbarkeit des Systems einher, da die Übertragung der Daten via Luftschnittstellen erfolgt. Hiesige Schnittstelle wird auch als "shared medium" bezeichnet (geteiltes Medium) und eröffnet Angreifern die Gelegenheit, diese zu attackieren. Manipulationen bzw. Angriffsversuche dieser Systeme lassen sich mit relativ einfachen Mitteln realisieren. Dies bringt uns zum Thema der WLAN-Sicherheit und die damit verbundenen Schutzmaßnahmen sowie Gefährdungen, welche auf unterschiedlichen Ebenen vorgenommen werden können bzw. existent sind. 

 Mögliche Gefährdungen: 

Vorsätzliche Handlungen

• das Abhören von WLAN Kommunikation
• die Angriffe auf WLAN Komponenten
• das Lauschen bzw. Auswerten von Verbindungsdaten drahtloser Kommunikation
• das Missachten schützenswerter Informationen (Vertraulichkeitsverlust) 

Höhere Gewalt

• Störung in der Stromversorgung 
• Störung durch Witterungsbedingungen
• Störung und/oder Ausfall des Funknetzes 

Menschliche Fehlhandlung 

• vorsätzliche Missachtung von IT-Sicherheitsmaßnahmen
• fehlerbehaftete Administration des IT-Systems
• unzulängliche Konfiguration und Bedienung
• unzureichender Umgang mit Passwortregeln (Länge, Komplexität etc.) 
• fehlerhafte Konfiguration des WLAN

Organisatorische Mängel

• mangelhafte Restriktion zum WLAN-Gebrauch
• ungeeignete Authentifikationsverfahren 
• insuffiziente Kontrolle von IT-Sicherheitsmaßnahmen 
• fehlende und/oder mangelhafte Regelungen 
• marginale Kenntnis von Regelungen 
• fehlende oder schlechte Planung des WLAN-Einsatzes 

Technisches Versagen: 

• unkontrollierte Expansion der Funkwellen
• unsolide bzw. mangelhafte WLAN-Sicherheitsmechanismen

Schutzmaßnahmen

Um Missbrauch durch Unbekannte zu verhindern, ist die Absicherung des WLANs durch die deutsche Rechtssprechung, in Bezug auf Authentifizierung und Verschlüsselung, zwingend vorgeschrieben. 

Unter Anwendung diverser Maßnahmen kann dies - u.a. in Abhängigkeit der Größe eines Netzwerkes - realisiert werden. 

Wesentliche Maßnahmen für ein SOHO-WLAN (Small Office Home Office) sind:

• genutzte WLAN-Geräte kabelgebunden zu konfigurieren
• User und Passwort am AP (Access Point, in dem Fall Router) ändern
• ein starkes Passwort verwenden, mittlerweile sind wir bei 10 Zeichen angekommen, Länge schlägt Komplexität, jedoch sollten Sonderzeichen, Großbuchstaben und keine kohärenten (zusammenhängenden) Wörter verwendet werden, die man in einem Wörterbuch abfragen bzw. finden und somit für eine Brutforce-Attacke (durch das Ausprobieren) leicht knacken/erraten kann
• aktuelle Frimware des Geräteherstellers installieren bzw. updaten 
• Zugriffssteuerungsliste, sogenannte ACL (Access Control List) verwenden sowie registrierte MAC-Adressen vom AP genehmigen (durch MAC-Filter möglich) 
• solide Kryptografie nutzen wie z. B. WPA2 (Wi-Fi protected Access, WPA ist der Vorgänger aber nicht mehr sicher!) 
• SSID (Service Set Identifier) umändern, um keine Rückschlüsse bzw. Assoziationen in Bezug auf Anwender oder Ort zu ermöglichen sowie Aussendung deaktivieren
• Fernkonfiguration im AP (hier Router) deaktivieren
• WLAN-Reichweite eingrenzen, indem man die Sendeleistung minimiert 
• Firewall einrichten!
• die sogenannten LOG-Dateien kontinuierlich auf fremde MAC-Adressen kontrollieren, um Fremdzugriff zu registrieren

 Sicherheitsverfahren

Hierbei sei nochmal der Artikel der Schutzziele in der Informationssicherheit erwähnt, bei dem CIA einge tragende Rolle einnimmt.

Exkurs: wesentliche Sicherheitsmechanismen, die Anwendung durch Verfahren und Kommunikationsprotokollen erfahren, sind der Garant bzw. die Sicherstellung der: 

Vertraulichkeit (Confidentiallity)

Integrität (Integrity)

Authentizität (Authenticity) 

und somit der Daten im WLAN. 

Vertraulichkeit im Kontext WLAN: Informationen (Daten) nur für Berechtigte zugänglich machen!

Integrität in Bezug auf WLAN: Datensicherheit (Schutz vor Verlust) und Erkennen von Manipulation!

Authentizität im Kontext WLAN: Eindeutige Zuordnung einer Information zum Absender!

WEP und WPA sind ungenügend und nicht mehr sicher, deshalb werden diese hier nicht genauer beschrieben. 

Sichere Verfahren hierfür sind: 

• WPA2 (nicht abwärtskompatibel zu den vorhandenen Verfahren, in Nutzung ist hier CCMP(Counter mode with CBC-MAC Protokol, CBC-MAC: Cipher Block Chaining Message Authetication Code)
• AES-128/192/256 bit, wobei der goldene und sichere Standard AES-256 ist! 

Teil drei unserer Artikelreihe zum Umstieg auf Apple-Produkte dreht sich ganz um die Firmenpolitik des US-Konzerns. Wir behandeln sowohl Sicherheit und Datenschutz als auch den technischen Support.

Sicherheit in Zeiten von Datenschutz und DSGVO

Natürlich spielt auch die Sicherheit eine enorme Rolle bei Apples Macs. Gemeinhin werden die Geräte von Apple als sehr sicher beziehungsweise weitaus sicherer als Windows-Geräte aufgefasst. Da der Marktanteil an Apple-Geräten weltweit zwischen 10 und 15 Prozent liegt, ist es nicht verwunderlich, dass für die weitaus weiter verbreiteten Windows-Rechner mehr Schadsoftware gibt als für Macs. Dies liegt schlicht daran, dass die Entwicklung von Viren und Trojanern lukrativer ist, da man mehr System angreifen kann.

Das besagt grundsätzlich allerdings noch nichts darüber aus, ob Macs sicherer sind. Es gibt zwar weniger Viren, Sicherheitslücken gibt es allerdings auch bei MacOS. Und zwar teils gravierende, die immer wieder publik werden – und sicherlich auch von Hackern ausgenutzt werden.

Grundsätzlich gelten für den Mac natürlich genau die gleichen Prinzipien wie für Windows-Rechner, wenn es um die Sicherheit geht: Die besten Sicherheitseinstellungen helfen nichts, wenn der Nutzer sorglos jede Software installiert oder jeden Link anklickt, der ihm per Mail zugeschickt wird. Meist ist eben der Nutzer die Schwachstelle eines Systems. Es hilft also auch hier, sich der Gefahren des Internets bewusst zu sein und sich dementsprechend verantwortungsvoll zu verhalten.

Eine andere Frage hingegen stellt der Datenschutz dar. Apple ist ein amerikanisches Unternehmen und damit dem amerikanischen Recht untergeordnet. Nehmen wir als Beispiel die iCloud. Auch wenn die Server vielleicht in Europa stehen mögen, gilt der Patriot Act auch für die Daten, die auf diesen Servern gespeichert sind, da Apple diesem Gesetz Folge leisten muss. Wie bereits näher im Artikel über Cloud-Lösungen erläutert, gelten also für alle Daten, die in die iCloud hochgeladen werden, nicht die deutschen Datenschutzgesetze oder die DSGVO der Europäischen Union.

Dies ist natürlich nicht das alleinige Problem von Apple-Produkten. Das Gleiche gilt auch für Microsoft und Google. Das ändert jedoch nichts daran, dass das Nutzen der gesamten „Apple-Lösung“ immer damit verbunden ist, dass deutsches Recht und vor allem Ihre Privatsphäre ignoriert werden.

Wenn‘s mal klemmt

Sollten Sie mit Desktop-PCs Erfahrung haben, werden Sie vielleicht wissen, wie einfach es sein kann, einen defekten Arbeitsspeicher auszutauschen oder eine neue Festplatte in Ihren Rechner einzubauen. Bei Laptops sieht es hingegen etwas komplizierter aus, da aufgrund der kompakten mobilen Bauweise manche Komponenten nur schwierig zu erreichen sind.

Und wie sieht es da bei Apple-Produkten aus? Da sagt Apple ganz klar: Finger weg! Aufschrauben und reparieren darf nur, wer offiziell für die US-Amerikaner arbeitet oder der eine Genehmigung von ihnen hat. Bastelt man trotzdem an dem Gerät herum, erlischt die Garantie.

Im ersten Moment ist es ja nachvollziebar, dass möglichst nur Profis an das Gerät sollten, doch wenn man jedes Mal, wenn irgendetwas mit der Hardware nicht in Ordnung ist, zum nächsten Apple-Shop rennen und sein Gerät abgeben muss, kann das sehr nervig sein. Vor allem, wenn offensichtlich systematisch Fehler auftreten. Beispielsweise mit den Tastaturen der letzten MacBook Pro Generationen, die regelmäßig defekt waren – und die Apple trotzdem weiterhin in die jeweils neue Generation Geräte eingebaut hat.

Während es schon eine Frechheit ist, defekte Bauteile einzubauen, obwohl die Probleme damit bereits seit Langem bekannt sind, grenzt es schon an eine Unverschämtheit, dafür auch noch eine Menge Geld zu verlangen. Denn Apple sah es lange Zeit überhaupt nicht ein, für die selbst gemachten Fehler geradezustehen.

Mittlerweile (nach mehreren Jahren wohlgemerkt) scheinen die Fehler weitestgehend behoben zu sein und die älteren Geräte wurden in ein Programm aufgenommen, die einen kostenlosen Support garantieren. Dass dies aber so lange dauern musste, spricht nicht wirklich für die Kundenfreundlichkeit der US-Amerikaner.

Wenn das Geld allerdings keine allzu große Rolle spielt (beispielsweise, wenn die Firma die Kosten von Reparaturen übernimmt), bekommt man auch hochqualitativen und meist recht schnellen Support geboten. Das scheint allerdings ein generelles Selbstverständnis von Apple zu sein: für Geld bekommt man alles.

Fazit

Neben all den Unterschieden ähneln sich MacOS und Windows letztlich in vielen Belangen sehr. Wie bereits erwähnt sind es Detailfragen, die sich unterscheiden. Viele Elemente des einen Systems finden sich in anderer Form genauso auf dem anderen, beispielsweise ein Sprachassistent oder der Appstore. Microsoft entwickelt sein Betriebssystem zunehmend in eine ähnliche Richtung wie Apple, wenn auch letztere noch sehr viel stärker auf Stil und All-in-one-Lösungen setzen.

Wenn alles rund läuft mit den Apple-Produkten (was normalerweise auch der Fall ist), sind diese Geräte hervorragende Computer. Das Problem ist eher, wenn mal etwas nicht rund läuft oder defekt ist. Da ist der Aufwand im Allgemeinen größer als bei Windows-Rechnern.

Letzten Endes ist es auch eine Geschmacksache, welchem Betriebssystem beziehungsweise welcher Hardware man den Vorzug gibt. Beide Systeme haben ihre Daseinsberechtigung und ihre ganz eigenen Vor- und Nachteile.

Im zweiten Teil unseres Artikels über DNS over HTTPS behandeln wir die Schwachstellen des DNS, wie es ausgenutzt werden kann und wie neue Technologien diese Sicherheitslücken schließen sollen.

Wie kann das DNS ausgenutzt werden, um den Nutzer anzugreifen?

Im Normalfall teilt der Resolver dem DNS-Server mit, nach welcher Domain man sucht. Außerdem beinhaltet die Anfrage zumindest einen Teil der eigenen IP-Adresse. Da man sich die fehlenden Teile durch anderweitige Informationen erschließen könnte, hätten Angreifer sämtliche Möglichkeiten, Ihren Rechner ins Visier zunehmen. Es gibt zwei Möglichkeiten, wie Hacker dies nun ausnützen könnten, um sich Ihnen gegenüber einen Vorteil zu verschaffen, das Tracking und das Spoofing.

Tracking

Es ist also nicht sonderlich schwer Ihre IP-Adresse während einer Anfrage beim DNS-Server auszulesen. Vielleicht denken Sie sich jetzt, dass das ja an sich kein Problem darstellt, Sie haben schließlich nichts zu verbergen? Das mag sein, allerdings wollen Sie sicherlich auch nicht, dass Ihre Daten beziehungsweise Ihr Surfverhalten verkauft werden, oder?

Mit Ihrer IP-Adresse lässt sich mit der Zeit nämlich leicht ein Profil von Ihnen erstellen – was sie suchen, einkaufen, welche Seiten sie häufig besuchen, welche Interessen sie haben. Dadurch lässt sich wunderbar personalisierte Werbung für sie schalten, damit sie noch mehr einkaufen von dem, was sie ohnehin bereits besitzen.

Allerdings hört das nicht bei Werbung auf. Ihre Daten sind äußerst wertvoll für viele Firmen, die unheimlichen Profit daraus schlagen – Google ist nicht umsonst durch den Verkauf solcher Daten milliardenschwer geworden.

Und selbst wenn Sie Ihrem Resolver, den Sie für Ihr privates Netzwerk eingerichtet haben, vertrauen – sobald sie mobil unterwegs sind, ein fremdes WLAN verwenden oder sich in einem Hotel einloggen, verwenden Sie möglicherweise einen anderen Resolver, der dann eben nicht mehr vertrauenswürdig ist. Und wer weiß schon, wie dieser Resolver mit denen von Ihnen gesammelten Daten umgeht?

Spoofing

Beim Spoofing klinkt sich jemand in Ihre Verbindung ein und verändert die Antwort, die vom DNS Server an Ihren Browser zurückgesendet wird. Anstatt Ihnen also die IP-Adresse der Seite, die Sie besuchen wollen, zu geben, wird Ihnen eine falsche Adresse zugesteckt. Auf diese Weise kann eine Seite Sie davon abhalten eine bestimmte Seite zu besuchen.

Warum sollte eine Seite tun? Nehmen wir folgendes Beispiel: Sie stehen in einem Laden und wollen die Preise im Regal mit denen im Internet bei einem anderen Anbieter vergleichen. Sollten Sie nun im WLAN-Netzwerk des Ladens sein, in dem Sie gerade stehen, verwenden Sie auch den Resolver, der in diesem Netzwerk eingerichtet ist. Und dem Geschäft wäre sicherlich daran gelegen, dass sie keine günstigeren Preise finden, als die, die sie im Laden vor sich haben, oder?

Und schon haben Sie ein Motiv dafür, eine andere, verfälschte Internetseite anzeigen zu lassen oder die gesuchten Vergleichsportale einfach vollständig zu blockieren.

Wie kann diesen Sicherheitslücken entgegengewirkt werden?

Netzwerke kommen im Normalfall ohne Probleme mit den oben genannten Praktiken davon, da die wenigsten Nutzer überhaupt davon wissen, geschweige denn sich damit auskennen und Gegenmaßnahmen ergreifen könnten. Und vielen wäre es wohl auch ziemlich egal, selbst wenn sie davon wüssten. Doch selbst für User, die sich mit der Materie auskennen, ist es schwierig, dafür zu sorgen, dass mit ihren Daten kein Schindluder getrieben wird.

Nun gibt es neben Browsern, die zu Firmen mit wirtschaftlichen Interessen gehören, auch Initiativen, die OpenSource und non-profit arbeiten. Die Mozilla Foundation beispielsweise arbeitet an Lösungen, die diese Sicherheitslücken schließen.

Der Mozilla Firefox nutzt nun also standardmäßig den sogenannten Trusted Recursive Resolver (TRR), der in hohem Maße darauf ausgelegt ist, keine verwertbaren personenbezogenen Daten der Nutzer weiterzugeben oder zu speichern. So werden sämtliche für die Suchanfragen verwendeten Informationen innerhalb von 24 Stunden wieder gelöscht. Der OpenSource-Browser kann damit den vom Netzwerk vorgegebenen Resolver ignorieren und eine sichere Variante verwenden.

Neben dem Verwenden eines auf Privatsphäre getrimmten Resolvers sorgt die Verschlüsselung der Suchanfragen eine große Rolle. So wird mittlerweile standardmäßig (und von allen aktuellen Browsern) das HTTPS-Protokoll angewandt.

Weiterhin sendet der TRR von Firefox nicht die gesamte angefragte Domain, sondern immer nur den Teil der Adresse, der für den Server, der gerade kontaktiert wird, relevant ist. Außerdem wird die Anfrage von dem von Firefox genutzten Dienst Cloudflare nicht weitergeleitet, sondern die Anfrage wird von einer dem Dienst eigenen IP-Adresse gesendet.

So wird nur ein Minimum an Informationen versandt, sodass zumindest der Aufwand, Rückschlüsse auf die Zieladresse oder die IP-Adresse zu erhalten, bei weitem größer wird.

Welche Risiken sind noch nicht behoben?

Auf die oben genannte Weise wird also die Zahl derjenigen, die Ihre Daten abgreifen können, um ein Vielfaches reduziert. Allerdings sind Ihre Verbindungen damit noch nicht vollständig sicher.

Nachdem Sie über den DNS-Server herausgefunden haben, wo Sie das Ziel Ihrer Suche finden können, müssen Sie sich erst noch mit dem jeweiligen Server verbinden. Um dies zu tun, schickt der Browser eine Anfrage an diesen Server – und diese Anfrage ist nicht verschlüsselt. Hier kann sich also sehr wohl jemand einklinken und mithorchen, welche Seiten Sie besuchen.

Sobald Sie allerdings mit dem jeweiligen Server verbunden sind, ist alles verschlüsselt. Praktischerweise gilt das auch für alle Seiten, die auf diesem Server gehostet werden. Schlagen Sie beispielsweise einen weiteren Wikipediaartikel nach, der auf demselben Server gespeichert ist, so wird keine vollständige Anfrage an den Server geschickt, sondern die bestehende (verschlüsselte) Verbindung wird weiterhin verwendet.

Fazit

Da das DNS eines der ältesten Grundbausteine des Internets ist und an dessen Struktur sich nicht viel verändert hat was die Privatsphäre oder Datensicherheit verbessert, ist es an der Zeit, dies in Angriff zu nehmen. Gemeinnützige Initiativen wie Mozilla unterstützen diese Weiterentwicklung und bringen sie bewusst voran.

Wer an Mozillas Studie zur Weiterentwicklung des oben beschriebenen TRR mitwirken möchte, kann sich hierfür die in Entwicklung befindende Firefox Nightly auf der Mozilla-Homepage herunterladen.

Wie würden Sie einem Kollegen erklären, was Ihr Browser im Hintergrund anstellt, wenn Sie ihn anweisen, eine Internetseite aufzurufen? Überfragt? Dann hilft Ihnen der folgende Artikel weiter. Hier erklären wir, was DNS und HTTPS sind und wie sie zusammenspielen.

Die Grundlagen: Was ist HTTPS?

Mit der zunehmenden Digitalisierung und der Omnipräsenz des Internets im alltäglichen Leben steigt auch das Verlangen nach der Gewährleistung von Privatsphäre und Datenschutz. Durch neue Datenschutzgesetze (zum Beispiel die DSGVO) soll diesem Verlangen Sorge getragen werden. Aber auch Softwareunternehmen und Organisationen arbeiten zunehmend an Sicherheitslösungen – nicht nur aus Gründen des Datenschutzes, sondern auch aus eigenem und wirtschaftlichem Interesse natürlich. HTTP steht dabei für Hypertext Transfer Protocol.

Kommen wir auf unsere Ausgangsfrage zurück: Was passiert, wenn Sie eine Internetseite aufrufen? Eine einfache Antwort wäre, dass der Browser erst eine Anfrage an den Server verschickt, dass er die Seite gerne anzeigen würde und der Server dann eine Antwort verschickt, in der die Datei steckt. Das nennt man dann HTTP und dürfte Ihnen bekannt vorkommen – etwas ähnliches steht in der Adresszeile Ihres Browsers ganz am Anfang.

Das Problem bei der Sache ist: So einfach funktioniert das Internet dann doch nicht. Denn normalerweise steht der Server, den Ihr Browser kontaktiert nicht gleich bei Ihnen ums Eck, sondern gerne auch mal auf einem völlig anderen Kontinent. Und dorthin gibt es von Ihrem PC aus auch keine direkte Kabelverbindung. Also müssen hierfür Mittelsmänner herhalten, die erst die Anfrage an den Server weitergeben und das gleiche dann auch mit der Antwort machen.

Diese Prozedur ist gut mit einem Klassenzimmer vergleichbar. Ein Schüler schreibt einen Brief und den Namen des Adressaten außen drauf, um ihn dann über mehrere Stationen an einen weiter entfernten Mitschüler zu schicken. Das Problem dabei ist, dass vielleicht nicht jeder der Mitschüler, durch deren Hände der Brief wandert, auch vertrauenswürdig sind und nicht neugierig den Inhalt des Briefes lesen.

Um diesen neugierigen Mitschülern entgegen zu wirken, wurde HTTP weiterentwickelt zu HTTPS – und das ist das, was tatsächlich in der Adresszeile Ihres Browsers steht. Das angehängte S steht für secure, also sicher. Man kann sich diese Weiterentwicklung als Brief mit Vorhängeschloss vorstellen, zu dem nur der Sender und der Empfänger den Schlüssel haben, die einzelnen Mittelsmänner (oder Schüler) aber eben nicht.

Dieses virtuelle Vorhängeschloss behebt schon einige Sicherheitslücken. Absolut sicher ist es aber auch nicht. Zum einen muss der Sender als ersten Schritt den Server kontaktieren, um eine Verschlüsselung aufbauen zu können. Diese erste Kontaktaufnahme ist aber logischerweise noch nicht verschlüsselt, da der Server sonst nichts damit anfangen könnte.

Die zweite Lücke, an der die Daten noch immer ungeschützt sind, besteht am DNS.

Was ist das Domain Name System (DNS)?

Die DNS hat in diesem Fall nichts mit Genetik zu tun, sondern steht für Domain Name System. Wie in unserem Vergleich mit dem Klassenzimmer muss auf der Anfrage des Nutzers quasi der Name des Empfängers stehen. Da der Server aber mit dem Klarnamen der Homepage nicht wirklich etwas anfangen kann, muss dieser so gestaltet sein, dass der Server versteht, was zu tun ist. Dies wird über das DNS erreicht.

Im Prinzip wird über das DNS jeder Internetseite nur eine IP-Adresse zugeordnet, mit der sie eindeutig zu erreichen ist. Damit der Browser weiß, wie er das tun muss, müsste er über eine sehr lange Liste verfügen, in der alle verfügbaren Webseiten eingetragen sind, ähnlich einem Telefonbuch. Allerdings hätte man damit das Problem, dass bei der enormen Menge an neu angelegten Webseiten diese Liste gar nicht schnell genug aktualisiert werden könnte. Also unterteilt man sie einfach in eine Reihe weitere Listen.

Es entsteht also quasi eine Datenbank mit vielen Unterlisten, die separat verwaltet und aktualisiert werden können. Schauen wir uns beispielsweise folgende Internetadresse an:

de.wikipedia.org

Die Punkte in der Adresse separieren die einzelnen Teillisten voneinander. Dabei geht der Browser (beziehungsweise der sogenannte Resolver) von hinten nach vorne vor. Als erstes wird also ein Server (der Root DNS Server) kontaktiert, der dann einen Server mit der Liste für die top-level Domains zurückgibt. In unserem Fall bräuchten wir einen Server, der mehr über .org Domains weiß.

Auf diesem Server finden wir dann wiederum alle Informationen über die second level domains, die unter .org zu finden sind. Für uns wäre das also der Namensserver für Wikipedia. Dieser Server kann uns dann weiterverbinden auf den zuständigen Server für die subdomains von Wikipedia. Hier bekommen wir nun also die Information, unter welche IP-Adresse die HTML-Datei der deutschen Wikipedia-Seite zu finden ist. Diese Adresse schickt der Resolver dann zurück an Ihren Browser.

Der Resolver ist allerdings nicht immer derselbe. Es gibt zwei Möglichkeiten, wie entschieden wird, welcher Resolver verwendet werden soll. Entweder der Benutzer stell ganz konkret einen Resolver ein, sodass sein Computer immer diesen einen verwendet oder er belässt die Voreinstellungen, sodass der Resolver vom System ausgesucht wird.

Sicherheitsprobleme im Internet

Im zweiten Teil unseres Artikels über DNS über HTTPS (DoH) lesen Sie mehr über die Sicherheitsrisiken beim Surfen im Internet, wie diese geschlossen werden können und was Sie als Nutzer aktiv für Ihre Privatsphäre tun können.

Haben Sie Probleme mit dem Internet oder Sicherheitsbedenken beim Surfen? Unsere IT-Spezialisten aus München helfen Ihnen gerne bei allen Ihren PC-Problemen weiter!

Nehmen Sie noch heute mit uns Kontakt auf!

• Per Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! oder
• Per Telefon unter Rufnummer 0176 75 19 18 18

Wir freuen uns auf Ihre Anfrage!

Trojaner sind Schadprogramme, welche den Zweck haben den User auszuspionieren, Daten zu sammeln oder Ihnen anderweitig zu schaden.

Im schlimmsten Fall, kann dies dazu führen, dass Ihre

• sämtliche Bankkonten gehackt werden
• Identität gestohlen und missbraucht wird
• Privaten- oder Firmendaten weiterverkauft werden

Deshalb sollten Sie sich in solchen Fällen dringend einen Experten zur Seite holen, damit die Trojaner von Ihrem Computer entfernt werden.

Maßnahmen:

• Lassen Sie Ihren Computer einmal im Jahr von einem PC-Experten abchecken
• Nutzen Sie ein separates Benutzerkonto um Ihre Finanzgeschäfte zu erledigen.
• Machen Sie immer ein Backup von Ihren Daten und verschlüsseln Sie wichtige Daten vor unbefugtem Zugriff
• Benutzen Sie eine Zwei-Faktor-Authentifizierung um sämtliche Konten vor Hackern zu schützen
• Benutzen Sie einen Antivirenscanner und eine Anti-Maleware Software 
• Machen Sie regelmäßig Updates von Ihrem Betriebssystem wie Windows, Linux oder MacOS