90 Prozent aller SSL-VPNs sind unsicher

Eine Sicherheitsstudie des Dienstleisters High-Tech Bridge zeigt, dass die große Mehrheit von öffenlich zugänglichen SSL-VPN-Servern erhebliche Sicherheitslecks aufweist. Diese ergeben sich aus unzureichenden oder veralteten Verschlüsselungsalgorithmen oder durch die Verwendung von ungeeigneten Sicherheitszertifikaten oder unsicheren Zertifikaten. Sogar SSL-VPN-Server, die noch für das OpenSSL-Leck Heartbleed offen sind, wurden aufgespürt.

Das Unternehmen hat dafür im Dezember mehr als 10.000 SSL-VPN-Server mit Zugang zum Internet gescannt. Ein VPN, ein Virtual Private Network, ist ein Verschlüsselungsprotokoll, das es anwendern ermöglichen soll, Daten sicher über ein öffentliches Netzwerk zu transferieren. SSL VPNs bieten den Vorteil, dass der Nutzer keinerlei Software auf seinem Gerät installieren muss. Für einen Mitarbeiter reicht es aus, sich über das Internet für die Verbindung einzuloggen.

In 77 Prozent der Server wurde das SSLv3-Protokol verwendet, das über zahlreiche Schwächen und Sicherheitslecks verfügt. Selbst SSLv2 komme noch in einigen wenigen Servern zum Einsatz. 76 Prozent der gescannten Server nutzen unsichere SSL-Zertifikate. Damit könnten potentielle Angreifer die VPN-Kommunikation auslesen, indem sie den Traffic über eine zweite VPN-Verbindung lotsen. Wie der Dienstleister HTB mitteilt, stammte das Problem vor allem daher, weil Anwenderunternehmen die von den Software-Herstellern vorinstallierten Zertifikate weiter verwenden.

Rund Dreiviertel aller SSL-VPN-Server verwenden Zertifikate mit der SHA-1 Signatur, die einem Angriff kaum stand halten kann. Anfang nächsten Jahres wollen die großen Browser-Hersteller diese Signatur nicht mehr unterstützen.

40 Prozent der VPNs verwenden zudem RSA-Zertifikate mit der als unsicher geltenden Key-Länge von 1024. RSA-Schlüssel unter 2048 Zeichen gelten inzwischen als unsicher. Etwa 10 Prozent der Server verwenden OpenSSL und leiden auch nach wie vor an dem Heartbleed-Leck. Über Heartbleed, dem OpenSSL-Leck, das vor rund zwei Jahren für Schlagzeilen sorgte, können Angreifer ohne großes technisches Wissen Daten wie Passwörter und Verschlüsselungsinformationen auslesen.

Wie HTB mitteilt entsprechen lediglich drei Prozent der geprüften SSL-VPN-Server mit den Bestimmungen aus PCI DSS, den Sicherheitskriterien für Kreditkarten, und kein einziger Server der über 10.000 Server stimmte mit den Empfehlungen von NIST überein. NIST sind Richtlinien der US-Regierung, die Voraussetzung für die Verarbeitung von Regierungsdaten sind.

Das Unternehmen bietet auch einen kostenlosen Test an, über den Nutzer prüfen können, ob der E-Mail-Provider sichere SSL-Verbindungen nutzt. “Auch heute noch bringen viele Menschen SSL/TLS-Verschlüsselung hauptsächlich mit HTTPS-Protokollen und Web-Browsern in Verbindung, aber viele unterschätzen, dass es auch in anderen Protokollen und Internet-Technologien zum Einsatz kommt”, kommentiert Ilia Kolochenko, Chef des Dienstleister. High Tech Bridge mit Niederlassungen in der Schweiz und in San Francisco liefert mit Immuniweb eine Lösung, über die Unternehmen jeglicher Größe die Sicherheit ihrer Web-Anwendungen testen können.