Cybersicherheit Netzwerke und Hardware Ein kurzer Exkurs zu Netzwerk-Stack

II.

Ein kurzer Exkurs zu Netzwerk-Stack

Das Funktionieren eines Netzwerks hängt von verschiedenen Schichten der Zuständigkeit ab. Diese werden im OSI-Modell dargestellt (OSI steht für Open Systems Interconnection, „Verknüpfung offener Systeme“). Dazu gehören folgende Schichten:

  • Die Bitübertragungsschicht (Physical Layer), welche die unterste Schicht darstellt. Sie ist für die tatsächliche physische Übertragung der Daten zuständig, d. h. sie stellt sicher, dass eine 1 des Senders auch als 1 beim Empfänger ankommt. Diese Schicht kann Daten z. B. über Lichtkabel (optische Kabel) übertragen. Auf dieser Ebene wird entschieden, ob der Datenverkehr gleichzeitig in beide Richtungen gesendet werden darf, wie die Verbindung aufgebaut wird usw.

  • Die Sicherungsschicht (Data Link Layer) ist für die Fehlererkennung und -behebung sowie das Verpacken von Daten in Pakete, sogenannte Frames (Rahmen), zuständig. Sie dient als Torwächter für eingehende Daten. Zudem bestimmt sie, für welche Hardwareadresse die Daten gedacht sind. Hierzu gehören z. B. verschiedene Netzwerkschnittstellen im selben Computer.

  • Die Vermittlungsschicht oder Netzwerkschicht (Network Layer) sorgt für das Routing der Daten zum Zielgerät im Netzwerk. Erinnern Sie sich, dass das Netzwerk mit einem anderen Netzwerk verbunden sein kann und nicht unbedingt dasselbe Kommunikationsprotokoll nutzt. Die Netzwerkschicht leitet die Daten an die Transportschicht weiter.

  • Die Transportschicht (Transport Layer) verwaltet die Verbindungen zwischen dem Startknoten (den physischen Bestandteilen des Netzwerks) und dem Endknoten. Sie definiert, wie die Verbindung aufgebaut wird, ob die Pakete in einer festen Reihenfolge ankommen sollen und ob ein Paket erneut gesendet werden soll, wenn es fehlt. Die Transportschicht stellt auch den Datendurchsatz sicher, damit schnellere Knoten nicht langsamere überlasten.

  • Die Sitzungsschicht (Session Layer) verwaltet die Einrichtung und das Aufrechterhalten von Verbindungen.

  • Die Darstellungsschicht (Presentation Layer) verwaltet unter anderem die Codierung, damit Computer mit verschiedenen Formen der internen Datendarstellung so kommunizieren können, dass beide Knoten es verstehen. Diese Schicht übernimmt teils auch die Verschlüsselung, z. B. wenn man auf einer sicheren Seite im Internet surft.

  • Die Anwendungsschicht (Application Layer) ist für die tatsächliche Protokollschicht zuständig. In einem Webbrowser definiert beispielsweise das HTTP-Protokoll, wie die Anwendung eine Webseite anfragt.

Die sieben Schichten des OSI-Modells (Open Systems Interconnection)
Die sieben Schichten des OSI-Modells (Open Systems Interconnection)

Jedes Bit, das gesendet wird, z. B. die Webseite dieses Kurses, reist durch die Netzwerkschichten, die als Netzwerk-Stack bezeichnet werden. Die Kurs-Website verwendet TLS (Transport Layer Security, Transportschichtsicherheit), welches das im obigen Bild erwähnte SSL (Secure Sockets Layer) größtenteils ersetzte. Dabei werden die Daten verschlüsselt, damit die unteren Schichten keine Einsicht in die Datenpakete haben. Ohne TLS würden Ihre Daten in Klartext durch alle Schichten und an der Übertragung beteiligten Computer gesendet werden. Das könnten im ungünstigsten Fall dutzende Knoten sein. All diese Computer könnten theoretisch die Daten einsehen und stehlen.

Note

Die Kurs-Website ist das eine, aber was, wenn es sich bei den Daten nicht um Kursinhalte sondern um sensible Daten wie Bank- oder Gesundheitsinformationen handelt? Wie können sie den Knoten vertrauen, über die Ihre Daten gesendet werden, wenn Sie nicht einmal wissen, wer sie betreibt? Lassen Sie uns das herausfinden.

Internetsicherheit

Wenn Sie über das Internet Daten senden und empfangen, funktioniert das meist über einen Webbrowser. Sichere Browser nutzen das TLS-Protokoll zum Schutz des Datenverkehrs zwischen dem Browser, mit dem Sie auf das Internet zugreifen (dem Client), und dem Server, an den Sie Daten senden oder von dem Sie Daten empfangen (z. B. ein Website-Server).

Sie können überprüfen, ob Sie per TLS geschützt sind, indem Sie nachsehen, ob sich in der Adressleiste Ihres Browsers neben dem korrekten Domainnamen ein Vorhängeschloss-Symbol befindet. Wenn neben der URL kein Vorhängeschloss-Symbol steht, ist die Verbindung unverschlüsselt.

Eine Lupe zeigt das Vorhängeschloss-Symbol in der Adressleiste des Browsers
Eine Lupe zeigt das Vorhängeschloss-Symbol in der Adressleiste des Browsers

Als Netzwerksicherheitsschicht verwendet TLS kryptografische Protokolle, um den sicheren Austausch verschlüsselter Kommunikation vom Browser zum Zielsystem zu authentifizieren, zu verifizieren und bereitzustellen und so den Inhalt der Datenpakete vor unteren Netzwerkschichten und den Knoten Dritter auf dem Weg der Übertragung zu verbergen.

TLS-Protokolle gewährleisten den sicheren Austausch der Verschlüsselungscodes. Zur Erinnerung: Der Verschlüsselungscode oder kurz Schlüssel schützt die Vertraulichkeit und überprüft die Integrität der gesendeten Kommunikation (Nachricht).

Browser mit TLS versuchen, Sie zu schützen, indem Sie die Gültigkeit des Zertifikats des Website-Servers und dessen Übereinstimmung mit dem Domainnamen (der URL) prüfen. Wenn das Server-Zertifikat nicht gültig ist oder auf einer anderen Seite verwendet wird, warnt Sie der Browser, dass Sie ungeschützt sind. Er zeigt ihnen eine Nachricht an, die auf das ungültige Zertifikat verweist, was bedeuten könnte, dass ein Hacker sein eigenes Zertifikat anstatt dem von Google eingefügt hat.

Einige Websites erlauben noch immer Verbindungen über das unsichere HTTP-Protokoll. Dadurch können alle Daten, die zwischen Ihrem Browser und dem Website-Server übertragen werden, von jeder Person mit Zugriff auf einen der Knoten auf der Datenroute eingesehen werden.

Angriffe auf TLS

Sich allein auf das Vorhängeschloss-Symbol zu verlassen, genügt jedoch nicht. Jeder kann ein Zertifikat erstellen, das dem Browser mitteilt, wie die Verbindung verschlüsselt werden soll.

Ein Angreifer kann versuchen, Sie zu seiner Website anstelle des Originals zu leiten, indem er einfache Tricks nutzt, z. B. die URL-Adresse so ändert, dass sie der originalen nahezu gleicht. Dies funktioniert, indem man z. B. ein kleingeschriebenes „l“ durch eine „1“ ersetzt. In den meisten Schriftarten sehen sich beide Zeichen so ähnlich, dass einem unaufmerksamen Nutzer kein Unterschied auffällt. Auch diese Seiten können verschlüsselt sein, sodass Sie sich trotz Vorhängeschloss-Symbol nicht in Sicherheit wiegen sollten. Wenn Sie eine Nachricht mit einem Link enthalten, könnte dies ein Versuch sein, Sie zu einer gefälschten Website zu leiten. Um nicht auf solche gefälschten URLs hereinzufallen, sollten Sie die Adresse selbst im Browser eingeben statt auf den erhaltenen Link zu klicken.

Bei einem Man-in-the-Middle-Angriff (MITM-Angriff) befindet sich der Angreifer als Mittelsmann zwischen Ihnen und dem Server und entschlüsselt Ihren Datenverkehr, speichert ihn und verschlüsselt ihn wieder, bevor er ihn an den Server weiterleitet. Diese Art von Angriff ist recht einfach durchzuführen, wenn Sie keine Verschlüsselung verwenden. TLS soll Sie durch den sicheren Austausch von Schlüsseln und die Prüfung der Server davor schützen. Wenn Sie jedoch die Warnhinweise bezüglich unsicherer Websites ignorieren, kann ein MITM-Angriff stattfinden.

Note
Hände halten ein Tablet mit einem Icon, das vor einer unsicheren Website warnt
Hände halten ein Tablet mit einem Icon, das vor einer unsicheren Website warnt

Tipps zur Prüfung der Sicherheit von Browsern und Websites

Prüfen Sie immer die Gültigkeit des Zertifikats, indem sie in der Adressleiste nach dem Vorhängeschloss-Symbol Ausschau halten. Ignorieren Sie die Warnhinweise Ihres Browsers nicht. Wenn der Browser das Server-Zertifikat als nicht vertrauenswürdig einstuft, sollten Sie die Website nicht nutzen.

Beachten Sie, dass TLS und andere Sicherheitsprotokolle wie SSL nicht nur der Kommunikation zwischen Webbrowsern und Website-Servern dienen. Sie werden auch in anderen Anwendungen wie E-Mail-Clients, Cloud-Diensten und mobilen Apps eingesetzt. Dies ist ein wichtiger Aspekt, da ein zunehmender Anteil der im Internet gesendeten und empfangenen Daten über mobile Apps und die Cloud übertragen wird. Die Sicherheit dieser Verbindungen ist etwas schwieriger zu beurteilen, wie wir später in diesem Abschnitt erläutern.

Schutz durch VPN

Wie können Sie sich im Internet vor Ausspähung und MITM-Angriffen schützen? Eine hervorragende Lösung ist ein VPN (Virtual Private Network). In einem privaten virtuellen Netzwerk werden Ihre Daten verschlüsselt und von Ihrem Computer an einen vertrauenswürdigen Zwischenknoten übertragen, der die Daten entschlüsselt und an den Endknoten weitersendet.

Stellen Sie sich ein VPN als zusätzliche Schutzebene vor, welche die Inhalte (die Daten) am Knoten Ihres Computers verschlüsselt und am Ausgangsknoten die Verschlüsselung der Außenschicht entschlüsselt und die Originaldaten weiterleitet. Dadurch kann z. B. verhindert werden, dass feindliche WLAN-Netzwerke Ihre Kommunikation abhören.

Note

Auch wenn öffentliche WLANs wegen ihrer inhärenten Sicherheitsmängel nicht zu empfehlen sind, bietet ein VPN in diesem Fall einen wichtigen zusätzlichen Schutz. Allgemein gilt: Falls Sie ein öffentliches WLAN nutzen, z. B. in einem Café, sollten Sie das Teilen von Daten auf Ihrem Gerät ausschalten und in den Netzwerkeinstellungen „Nicht speichern“ wählen, damit Ihr Gerät das Netzwerk vergisst, sobald die Verbindung beendet wird. So verhindern Sie, dass Ihr Gerät sich automatisch wieder damit verbindet, ohne dass Sie es beabsichtigen und sich dessen bewusst sind.

Ein Beispiel für eine VPN-Lösung ist eine App auf Ihrem Mobiltelefon oder einem physischen Gerät an der Grenze Ihres vertrauenswürdigen Netzwerks (z. B. der interne Router des Unternehmens). Wird das VPN aktiviert, sind beide Implementierungen sicher und die Kommunikation wird vor den tieferliegenden Netzwerkschichten und damit auch den Netzwerkknoten verborgen.

Ein Netzwerk zeigt eine per VPN geschützte Verbindung
Ein Netzwerk zeigt eine per VPN geschützte Verbindung

Eines sollten Sie jedoch beachten: Sobald der verschlüsselte VPN-Traffic den Serverknoten des VPN-Anbieters verlässt, reist er wie üblich weiter zum Zielknoten – wenn Sie dabei kein sicheres Netzwerkprotokoll wie TLS oder Ende-zu-Ende-Verschlüsselung (siehe Kapitel 3.1) verwenden, kann jeder Knoten auf dem Rest der Route den Traffic einsehen.

Ein VPN kann auch genutzt werden, um die Quelle des Datenverkehrs zu verbergen und vorzutäuschen, dass er vom VPN-Ausgangsknoten kommt. So kann man geografische Beschränkungen umgehen oder den Datenverkehr vor möglicherweise feindlichen Netzwerken verbergen. Genauso kann man per VPN seine Kommunikation vor der Abhörung durch feindliche Regierungen schützen. Ein VPN erreicht dies durch Verschlüsselung und die Maskierung des Ziels der Kommunikation, bis die Verbindung an einem Ausgangsknoten endet, der sich in einem anderen Land befinden kann.

VPN-Lösungen dienen oft der Verbindung separater Netzwerke, z. B. um ein Netzwerk auf mehrere Standorte eines Unternehmens auszuweiten. Obwohl die separaten Netzwerke nicht physisch miteinander verbunden sind, kann das VPN sie als ein großes Ganzes erscheinen lassen. Interner Datenverkehr wird über die verschlüsselte VPN-Verbindung zum Ausgangsknoten gesendet, welcher sich an der Grenze des anderen Netzwerks befindet.

Note

Doch ein VPN ist nicht in allen Fällen die ideale Lösung. Wenn Sie auf dem Smartphone VPN benutzen und per Tethering Ihren Laptop verbinden, ist die Verbindung auf Ihrem Laptop wider Erwarten nicht durch das VPN gesichert. Das Smartphone fungiert als Router und nutzt nicht den VPN-Tunnel für Tethering-Verbindungen, obwohl alle Apps auf dem Smartphone das VPN nutzen.

In diesem Fall sollte das VPN stattdessen auf dem Laptop laufen.

Sicherheit von Apps und Cloud-Diensten

Typischerweise werden Daten von einer Person gehostet, die einen Server genannten Computer bedient, und eine andere Person ist für den Server und dessen Sicherheit zuständig. Zahlreiche Maßnahmen der Cybersicherheit wie Zugriffskontrolle und Protokollierung gehen auf die Anfänge der Computer zurück, als die Geräte einfacher und alle Daten lokal gespeichert waren.

In den 80er- und 90er-Jahren führte die Kommerzialisierung und Konsumerisierung (Consumerization) von PCs zu mehr Verantwortung für die Verbraucher bezüglich der Sicherheit ihrer Computer bzw. Endpunkte (Endpoints), wie sie in Unternehmensumgebungen heißen. Normalerweise wurde zum Schutz ein Anti-Viren-Programm installiert. Heute ist klar, dass das gerade in Unternehmen nicht ausreicht. Als bewährte Praxis gilt es, zumindest regelmäßige Schulungen zu Cybersicherheit durchzuführen, wenn Angestellte in Telearbeit tätig sind oder auf Geschäftsreise gehen.

Endpunkte wie Arbeitsstationen, Mobiltelefone und Tablets werden heute nicht nur entweder rein beruflich oder rein privat genutzt. Stattdessen gibt es eine Überschneidung von beruflicher und privater Nutzung und entsprechender Inhalte. Es wird immer unklarer, wo sich die Daten befinden. Dadurch lässt sich nur schwer herausfinden, wo die Sicherheitskontrollen bei üblichen Apps sind.

Einfach nur „die Cloud“ oder IaaS, PaaS und SaaS?

Sie haben vielleicht schon einmal gehört, die Cloud sei von Natur aus sicher. Andere sagen, die Cloud sei einfach wie der Computer von jemand anderem.

Auch wenn diese beiden Aussagen teils richtig sind, gehören sie zu den modernen Mythen der Cybersicherheit. Um die Cloud zu verstehen, müssen wir uns einige weitere Fragen stellen. Je nachdem, wie die Antwort ausfällt, müssen die Sicherheitskontrollen und -methoden angepasst werden.

Die Cloud ist quasi zum Synonym für die Datenverarbeitung durch Dritte geworden. Es gibt jedoch Unterschiede zwischen den verschiedenen Arten von Clouds, nämlich IaaS, PaaS und SaaS:

  • IaaS (Infrastructure as a Service, Infrastruktur als Dienst) bedeutet, dass Hosting-Anbieter wie AWS, Azure oder GCP virtuelle Server in einer skalierbaren Umgebung hosten. Die Verantwortung für die Sicherheit der Betriebssysteme und Dienste bleibt beim Kunden.

  • PaaS (Platform as a Service, Plattform als Dienst) gibt es von denselben Anbietern, doch hierbei handelt es sich z. B. um Datenbanken oder Datenanalyse-Software als Dienst. Der Kunde kümmert sich um den Betrieb der Plattform und kann sie durch korrekte Einrichtung sichern.

SaaS (Software as a Service, Software als Dienst) umfasst Dienste wie Salesforce, Office365 und Gmail. Hierbei hat der Kunde wenig Mitspracherecht beim Thema Sicherheit. Dennoch liegt es weiter in seiner Verantwortung, den Zugang zum Dienst zu schützen und die erwähnten bewährten Praktiken für die Netzwerksicherheit anzuwenden.

Ist diese App sicher?

Das ist eine sehr häufige Frage. Anhand der mit der App veröffentlichten Informationen lässt sich kaum erkennen, wie sicher die Verarbeitung der Daten in der App oder im Backend ist.

Um die Cybersicherheit einer App zu analysieren, sollten Sie sich folgende Fragen stellen:

  • Wer gibt die App heraus? Handelt es sich um den App-Store des Betriebssystems oder einen unbekannten Anbieter? App-Stores (Google Play, Apple Store) prüfen Apps in gewissem Maße auf schädliche Elemente (z. B. Stalkerware [Spionageprogramme], Schadsoftware und Backdoors).

  • Welche Informationen erfasst die App vom Nutzer, mit oder ohne dessen Zustimmung?

  • Wie wird die Datenübertragung zwischen der App und dem Backend geschützt? (Mehr dazu in Kapitel 3.)

  • Wie wird die Datenübertragung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) geschützt?

  • Wie sicher sind die Verschlüsselungsprotokolle und die Schlüsselverwaltung? Hat die App z. B. ein TLS-Zertifikat?

  • Wie kann der Herausgeber der App Ihre Informationen technisch verarbeiten?

  • Operiert der Herausgeber innerhalb einer Gesetzgebung, die ihn zur Herausgabe Ihrer Informationen an lokale Behörden verpflichtet (z. B. in China)?

  • Fängt der Herausgeber den Inhalt der übertragenen Daten ab und/oder verändert ihn (z. B. WeChat in China)?

All dies zu überprüfen, wäre selbst für einen Profi mit viel Aufwand verbunden, sodass Sie nachsehen sollten, was andere herausgefunden haben. Sie können sich zuerst einmal informieren, ob es zuletzt eine Prüfung des Codes und eine unabhängige Sicherheitsanalyse gab.

Die beste öffentlich zugängliche Analyse ist eventuell ein Vergleich der Sicherheits- und Datenschutzfunktionen der verschiedenen Chat-Apps (Signal, Telegram, WhatsApp, Facebook Messenger).

Einen solchen Vergleich bietet zum Beispiel die EFF (Electronic Frontier Foundation). Dieser ist jedoch veraltet. Einen aktuelleren und deutlich ausführlicheren Vergleich finden Sie auf Securemessagingapp.com.

Note

Vergessen Sie nicht, dass es bei jeder Software – ob Betriebssystem, Anti-Viren-Programm, VPN-Anwendung oder App – wichtig ist, die neusten Aktualisierungen zu installieren (und dabei darauf zu achten, dass sie aus einer vertrauenswürdigen Quelle stammen). Softwareaktualisierungen können trivial erscheinen und werden oft ignoriert, doch sie enthalten meist kritische Sicherheitsupdates, ohne die Ihr Gerät und Ihre Kommunikation anfällig für Angriffe sind.

Next section
III. Ihr Aktionsplan für Cybersicherheit

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Dieser Kurs entstand im Rahmen der Initiative Digital SkillUp, dem Markennamen für die Ergebnisse des Projekts European Digital Academy, das von der Europäischen Kommission mit Unterstützung des Europäischen Parlaments gefördert wird. Ziel des Projekts ist es, Bürgern und KMU Grundkenntnisse zu neu entstehenden Technologien zu vermitteln. Es umfasst einen Online-Lernbereich für alle mit Inhalten und Angeboten zu Themen wie KI, Blockchain, Robotik, Cybersicherheit und Internet der Dinge.

Dieses Projekt wurde durch die Europäische Union gefördert. Diese Mitteilung stellt lediglich die Meinung des Autors dar. Es stellt nicht die Meinung der Europäischen Kommission dar und die EK ist nicht verantwortlich für die Nutzung der darin enthaltenen Informationen.