Pressemitteilung, 06.05.2014 - 12:40 Uhr
Perspektive Mittelstand
Symmetrische Verschlüsselung contra Heartbleed und NSA-Skandal
Heartbleed-Sicherheitslücke in OpenSSL und NSA-Skandal zeigen SSL-Angreifbarkeit. Infotecs verzichtet auf SSL und präsentiert alternative Verschlüsselungslösung ViPNet VPN
(PM) Berlin, 06.05.2014 - Nach der NSA-Affäre entsteht erneut ein Security-Skandal aufgrund der Entdeckung einer schwerwiegenden Schwachstelle („Heartbleed-Bug“) in der freien Software OpenSSL, welche als Krypto-Bibliothek in vielen Lösungen zur Datenverschlüsselung verwendet wird. Infotecs bietet mit der ViPNet Technologie eine Alternative mit symmetrischem Schlüsselmanagement für den sicheren Datenaustausch.Erst der NSA-Skandal, nun die Sicherheitslücke Heartbleed in OpenSSL – die Internet- und IT-Sicherheitsbranche gerät erneut ins Wanken. Themen, welche gewöhnlich die IT-Fachspezialisten interessieren, erscheinen in den Nachrichten für die breite Bevölkerung. Die Meldungen rund um die Gefährdung der IT-Sicherheit von virtuellen privaten Netzwerken, speziell von VPNs auf Basis von SSL (Secure Sockets Layer), häufen sich. SSL (neuere Bezeichnung TLS - Transport Layer Security) bezeichnet ein Netzwerkprotokoll zur sicheren Übertragung von Daten im Internet und ist beispielsweise in der freien Software OpenSSL implementiert. Die Heartbleed-Sicherheitslücke in OpenSSL wurde erst kürzlich bekannt und stellt eine der schwerwiegendsten Schwachstellen dar, welche weitläufige Auswirkungen nach sich zieht. Durch den Heartbleed-Bug können Cyber-Kriminelle nicht nur Benutzerdaten und Passwörter ausspähen, auch der Datenaustausch aus der Vergangenheit kann nachträglich entschlüsselt werden. Weiterhin sind Man-in-the-Middle-Angriffe möglich [1] [2]. Andere Berichte zeigen, wie die NSA VPN-Verbindungen und VoIP-Gespräche knacken kann. Dabei handelt es sich um VPNs, welche ebenfalls auf SSL basieren. Vor allem der Internet-Key-Exchange (IKE) mit Public-Key-Infrastruktur (PKI) bietet potenzielle Angriffsziele [3]. Der US-Geheimdienst infizierte dazu Router in Internetknotenpunkten mit dem Programm Hammerstein, welches VPN-Daten abgriff und übermittelte [4].Der High-Security-Anbieter Infotecs entwickelte noch vor Erscheinen der ersten Version von SSL die Verschlüsselungslösung ViPNet VPN auf Basis eines symmetrischen Schlüsselmanagements. Diese Art der Verschlüsselung konzentriert sich auf Punkt-zu-Punkt-Verbindungen, also die direkte Kommunikation zwischen den Endpunkten innerhalb des VPNs. Klassische VPN-Produkte mit IPSec (Internet Protocol Security) oder SSL im Einsatz verwenden hingegen asymmetrische Verschlüsselungsverfahren. Der Grundgedanke symmetrischer Verschlüsselung besteht darin, dass die Schlüssel zum Datenaustausch bereits vor der eigentlichen Kommunikation verteilt werden. Jedes Knotenpaar des privaten Netzwerks besitzt seinen eigenen separaten Schlüssel für den Informationsaustausch. Dieser Schlüssel selbst wird bei der Verschlüsselung jedoch nicht verwendet, stattdessen kommt eine Ableitung von ihm zum Einsatz. Dabei wird jedes neue ausgehende Paket im Netzwerk durch eine neue Schlüsselableitung verschlüsselt. Dank diesem Verfahren und weil ein Austausch von öffentlichen Schlüsseln und Zertifikaten über einen unsicheren Kanal bei ViPNet nicht notwendig ist, sind die Möglichkeiten für Angriffe wie z. B. Man-in-the-Middle grundsätzlich ausgeschlossen. Vor allem diese Angriffsform wird in der Kombination mit der Ausnutzung des Heartbleed-Bugs häufig von der NSA und Hackern verwendet, um Verschlüsselungs-mechanismen zu knacken, welche auf PKI basieren.Unter www.infotecs.de/download/ kann die Security-Lösung ViPNet VPN heruntergeladen und 60 Tage lang kostenfrei ausprobiert werden. Die Testversion beinhaltet zwei Coordinatoren (Windows- und/oder Appliance-basiert) und insgesamt 10 Clients (Windows / Mac OS / Android / ThinClient). IT-Verantwortliche, welche nähere Details zum Thema symmetrische Verschlüsselung und ViPNet VPN erfahren möchten, können unter www.infotecs.de/whitepaper/ die kostenlosen Whitepaper herunterladen.Weiterführende Informationen[1] Wikipedia-Eintrag zur Heartbleed-Sicherheitslücke: de.wikipedia.org/wiki/Heartbleed [2] News und Hintergründe zum Thema Heartbleed bei heise online: www.heise.de/thema/Heartbleed [3] „NSA-Affäre: Mit dem Hammer gegen VPN und Skype“, Golem.de, 12.03.2014: www.golem.de/news/nsa-affaere-mit-dem-hammer-gegen-vpn-und-skype-1403-105102.html[4] „How the NSA Plans to Infect ‘Millions’ of Computers with Malware”, The Intercept, 12.03.2014: firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/


ANLAGEN

Pressemitteilung als PDF (PDF, 239,70 KB)

ANSPRECHPARTNER/KONTAKT

Infotecs Internet Security Software GmbH
Frau Anja Müller
Oberwallstr. 24
10117 Berlin
+49-30-206 43 66-52
anja.mueller@infotecs.de
www.infotecs.de


ÜBER INFOTECS

Infotecs entwickelt und vertreibt IT-Sicherheitslösungen, welche die Arbeit in Firmen flexibler, einfacher und vor allem sicherer als je zuvor machen. Seit der Gründung im Jahr 1991 durch drei anerkannte Kryptografen entwickelte sich das Unternehmen zu einem erfahrenen IT-Security-Spezialisten für VPN-Lösungen. Die von Infotecs in Pionierarbeit entwickelte ViPNet Technologie setzte einen Meilenstein in der Geschichte virtueller privater Netzwerke – noch vor Etablierung von IPSec als klassisches VPN-Protokoll. Allein in den letzten fünf Jahren konnten mithilfe von Lösungen des High-Security-Anbieters weit über 700.000 Netzwerkknoten sicher miteinander verbunden werden. Dabei wurden nützliche Erfahrungen gesammelt, reale Bedürfnisse erkannt und in die Entwicklung einbezogen, um die Software fortwährend zu verbessern und an die Wünsche der Anwender anzupassen. Weitere Informationen zum Unternehmen finden Sie unter www.infotecs.de.