News

Wegen der starken Verbesserungen in Bezug auf Sicherheit und Privatsphäre durch TLS 1.3 müssten Unternehmen zukünftig mehr überwachen, als sie eigentlich wollten, erklärt der britische Geheimdienst.

TLS (Transport Layer Security - aktuell 1.2) ist DER Standard für Verschlüsselung im Netz. Kurz vor der Verabschiedung der nächsten Version 1.3 erklärt Ian Levy vom britischen National Cyber Security Centre (NCSC), dass diese Verschlüsselung zwar gut für Privatpersonen aber schlecht für Unternehmen sei.

In der Security-Szene gilt TLS 1.3 als großer Wurf insbesondere wegen der damit verbundenen Verbesserungen der Sicherheit und der Privatsphäre im Web.

Konkret kritisiert Levy, dass der Verbindungsaufbau gemäß TLS 1.3 jetzt komplett verschlüsselt erfolgt - so wird insbesondere das Zertifikat des aufgerufenen Servers nicht mehr im Klartext übertragen. Bisher konnten etwa Firewalls und Proxies in Firmennetzen am Zertifikat erkennen, mit welchem Server sich die Angestellten über eine HTTPS-Verbindung nach draußen verbinden wollten, ohne diese explizit zu öffnen.

Überwachungsgerätschaften würden sinnvollerweise sensitive Verbindungen mit persönlichen Daten etwa zu Servern von Banken oder der Gesundheitsfürsorge natürlich (...) nicht antasten - dieses Whitelisting würde mit TLS 1.3 unmöglich - sicherheitsbewusste Unternehmen müssten deshalb wohl oder übel ausnahmslos alle Verbbindungen nach draußen überwachen, lautet die Logik des NCSC-Technikers.

Dieser Logik widerspricht übrigens Googles Krypto-Experte Adam Langley vehement!