(PM) Berlin, 06.05.2014 - Nach der NSA-Affäre entsteht erneut ein Security-Skandal aufgrund der Entdeckung einer schwerwiegenden Schwachstelle („Heartbleed-Bug“) in der freien Software OpenSSL, welche als Krypto-Bibliothek in vielen Lösungen zur Datenverschlüsselung verwendet wird. Infotecs bietet mit der ViPNet Technologie eine Alternative mit symmetrischem Schlüsselmanagement für den sicheren Datenaustausch.

Erst der NSA-Skandal, nun die Sicherheitslücke Heartbleed in OpenSSL – die Internet- und IT-Sicherheitsbranche gerät erneut ins Wanken. Themen, welche gewöhnlich die IT-Fachspezialisten interessieren, erscheinen in den Nachrichten für die breite Bevölkerung. Die Meldungen rund um die Gefährdung der IT-Sicherheit von virtuellen privaten Netzwerken, speziell von VPNs auf Basis von SSL (Secure Sockets Layer), häufen sich.

SSL (neuere Bezeichnung TLS - Transport Layer Security) bezeichnet ein Netzwerkprotokoll zur sicheren Übertragung von Daten im Internet und ist beispielsweise in der freien Software OpenSSL implementiert. Die Heartbleed-Sicherheitslücke in OpenSSL wurde erst kürzlich bekannt und stellt eine der schwerwiegendsten Schwachstellen dar, welche weitläufige Auswirkungen nach sich zieht. Durch den Heartbleed-Bug können Cyber-Kriminelle nicht nur Benutzerdaten und Passwörter ausspähen, auch der Datenaustausch aus der Vergangenheit kann nachträglich entschlüsselt werden. Weiterhin sind Man-in-the-Middle-Angriffe möglich [1] [2].

Andere Berichte zeigen, wie die NSA VPN-Verbindungen und VoIP-Gespräche knacken kann. Dabei handelt es sich um VPNs, welche ebenfalls auf SSL basieren. Vor allem der Internet-Key-Exchange (IKE) mit Public-Key-Infrastruktur (PKI) bietet potenzielle Angriffsziele [3]. Der US-Geheimdienst infizierte dazu Router in Internetknotenpunkten mit dem Programm Hammerstein, welches VPN-Daten abgriff und übermittelte [4].

Der High-Security-Anbieter Infotecs entwickelte noch vor Erscheinen der ersten Version von SSL die Verschlüsselungslösung ViPNet VPN auf Basis eines symmetrischen Schlüsselmanagements. Diese Art der Verschlüsselung konzentriert sich auf Punkt-zu-Punkt-Verbindungen, also die direkte Kommunikation zwischen den Endpunkten innerhalb des VPNs. Klassische VPN-Produkte mit IPSec (Internet Protocol Security) oder SSL im Einsatz verwenden hingegen asymmetrische Verschlüsselungsverfahren. Der Grundgedanke symmetrischer Verschlüsselung besteht darin, dass die Schlüssel zum Datenaustausch bereits vor der eigentlichen Kommunikation verteilt werden. Jedes Knotenpaar des privaten Netzwerks besitzt seinen eigenen separaten Schlüssel für den Informationsaustausch. Dieser Schlüssel selbst wird bei der Verschlüsselung jedoch nicht verwendet, stattdessen kommt eine Ableitung von ihm zum Einsatz. Dabei wird jedes neue ausgehende Paket im Netzwerk durch eine neue Schlüsselableitung verschlüsselt. Dank diesem Verfahren und weil ein Austausch von öffentlichen Schlüsseln und Zertifikaten über einen unsicheren Kanal bei ViPNet nicht notwendig ist, sind die Möglichkeiten für Angriffe wie z. B. Man-in-the-Middle grundsätzlich ausgeschlossen. Vor allem diese Angriffsform wird in der Kombination mit der Ausnutzung des Heartbleed-Bugs häufig von der NSA und Hackern verwendet, um Verschlüsselungs-mechanismen zu knacken, welche auf PKI basieren.

Unter www.infotecs.de/download/ kann die Security-Lösung ViPNet VPN heruntergeladen und 60 Tage lang kostenfrei ausprobiert werden. Die Testversion beinhaltet zwei Coordinatoren (Windows- und/oder Appliance-basiert) und insgesamt 10 Clients (Windows / Mac OS / Android / ThinClient). IT-Verantwortliche, welche nähere Details zum Thema symmetrische Verschlüsselung und ViPNet VPN erfahren möchten, können unter www.infotecs.de/whitepaper/ die kostenlosen Whitepaper herunterladen.

Weiterführende Informationen
[1] Wikipedia-Eintrag zur Heartbleed-Sicherheitslücke: de.wikipedia.org/wiki/Heartbleed

[2] News und Hintergründe zum Thema Heartbleed bei heise online: www.heise.de/thema/Heartbleed

[3] „NSA-Affäre: Mit dem Hammer gegen VPN und Skype“, Golem.de, 12.03.2014: www.golem.de/news/nsa-affaere-mit-dem-hammer-gegen-vpn-und-skype-1403-105102.html

[4] „How the NSA Plans to Infect ‘Millions’ of Computers with Malware”, The Intercept, 12.03.2014: firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/