Bis Dezember letzten Jahres hatte ich zu Hause einen Mac mini mit OS X Server zu stehen. Genutzt habe ich nur wenig von den Möglichkeiten. Nachdem sich das Gerät nun nicht mehr aktualisieren ließ (es ist fortan als HD-Recording System ohne Neztzugang im Einsatz) migrierte ich auf ein Synology NAS.
Hinter der Nutzung des NAS steht auch ein mehrstufiges System der Vertrauligkeit von Daten in der privaten Cloud, im lokalen Netz, lokal auf dem Gerät oder auf entsprechenden Medien.
Vor kurzem war ich auf einer Sicherheitstagung des Deutschen Forschungsnetzes zusammen mit vielen anderen Kolleginnen und Kollegen aus dem Hochschulumfeld. Mit auf der Agenda stand wie alle paar Jahre mal wieder ein Vortrag zum Stand der E-Mailverschlüsselung. Gerade vor dem Hintergrund der Tatsache, dass durch die Snowden-Enthüllungen endlich allen klar wurde, dass das was möglich ist auch getan wird und sich in Bezug auf uns IT-Sicherheitsexperten (ich schließe mich da mal mit ein) wieder einmal gezeigt hat: „Nur weil Du paranoid bist, heißt das nicht, dass Dich nicht auch jemand verfolgt.“ Unsere Regierung gab uns letztes Jahr den Tipp: „Helft euch selbst! Verschlüsselt eure Kommunikation!“ Und während das bei Dingen wie Instant Messaging (z.B. WhatsApp, iMessage und Co) mittlerweile mehr oder weniger gut funktioniert, zeigen die Umfragen in meinem beruflichen und privaten Umfeld: E-Mails werden nur in den seltensten Fällen verschlüsselt oder signiert. Dabei ist E-Mail noch immer eines der – wenn nicht das wichtigste – Kommunikationsmedium im Internet. Und die Techniken zur Verschlüsselung stehen seit Jahrzehnten zur Verfügung.
Nur, falls es sich bislang Eurer Aufmerksamkeit entzogen hat:
Im Artikel vom 16.11.2009 spricht nun auch Heise davon, dass die Verwendung von Client-Zertifikaten nur ein Weg ist, das TLS-Problem auszunutzen. Ein Twitter-Hack zeigt, wie ein Angriff praktisch aussehen kann. Das Problem hatten Thomas Gebhardt und ich am 10.11.2009 in einem Artikel zusammengefasst. In der Zusammenfassung kamen wir bereits zum Ergebnis, dass zügig gehandelt werden muss. Ein guter Zeitpunkt zur Umsetzung geeigneter Massnahmen wäre jetzt gekommen.
Am Donnerstag, den 5.11. erschien auf Heise Security eine Meldung zu einer Schwachstelle im SSL/TLS-Protokoll. Es war schwierig, aus der Beschreibung die Brisanz der Schwachstelle abzuleiten. Die bei Heise folgende Diskussion zeigte, dass der Eindruck entstand, dass es sich um eine Lücke handle, die nur bei exotischen Konfigurationen auftreten würde. Diese Einschätzung ist leider falsch! Heute meldet Heise: OpenSSL fixt TLS-Schwachstelle. Allerdings besteht hier der Fix nur darin, die Wiederverhandlung im TLS abzuschalten. Dabei handelt es sich jedoch zur Zeit leider um die beste zur Verfügung stehende Maßnahme. Das Security Advisory von Cisco, das gestern erschien, liest sich wie eine Produktportfolio (“Details”), da fast jedes Produkt SSL/TLS unterstützt. Hier arbeitet man an Lösungen.
Thomas Gebhardt und ich haben für unsere Administratoren und als Vorlage für Informationen für unsere Benutzer einen Artikel zusammengestellt, in dem wir den Wissensstand noch einmal in Deutscher Sprache zusammenfassen. Relevant ist dieses Wissen vor allem für Betreiber von Infrastruktur, die SSL/TLS verwendet (also z.B. HTTPS, IMAPS, LDAPS, etc.) aber leider auch für alle Benutzer von Online Banking, Online Shopping, eGovernment etc.