Häufige Sicherheitsbedrohungen in der modernen EDV

Angriff mit kompromittiertem Schlüssel

Ein Schlüssel ist ein geheimer Code oder eine geheime Nummer zur Verschlüsselung, Entschlüsselung oder Überprüfung geheimer Informationen. Bei der Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) werden zwei vertrauliche Schlüssel verwendet, die berücksichtigt werden müssen:

• Der private Schlüssel, der sich im Besitz des jeweiligen Zertifikatinhabers befindet

• Der Sitzungsschlüssel, der nach der erfolgreichen Identifikation und dem Sitzungsschlüsselaustausch durch die Kommunikationspartner verwendet wird

Ein Angriff mit kompromittierten Schlüsseln liegt vor, wenn der Angreifer den privaten Schlüssel oder den Sitzungsschlüssel ermittelt. Gelingt dem Angreifer die Ermittlung des Schlüssels, kann er den Schlüssel zum Entschlüsseln verschlüsselter Daten ohne Wissen des Absenders verwenden.

Lync Server 2013 verwendet die PKI-Features im Windows Server-Betriebssystem, um die schlüsselseitigen Daten zu schützen, die für die Verschlüsselung für TLS-Verbindungen (Transport Layer Security) verwendet werden. Die für die Medienverschlüsselung verwendeten Schlüssel werden über TLS-Verbindungen ausgetauscht.

Denial-of-Service-Angriff auf das Netzwerk

Ein Denial-of-Service-Angriff liegt vor, wenn der Angreifer die normale Netzwerknutzung durch gültige Nutzer verhindert. Hierbei überfluten Angreifer den Dienst mit legitimen Anforderungen, sodass er für die berechtigten Nutzer nicht mehr erreichbar ist. Bei einem Denial-of-Service-Angriff eröffnen sich den Angreifern folgende Möglichkeiten:

• Er kann ungültige Daten an Anwendungen und Dienste senden, die in dem angegriffenen Netzwerk ausgeführt werden, um ihre Funktionsweise zu beeinträchtigen.

• Er kann große Datenmengen senden, um das System zu überlasten, bis es nicht mehr oder nur noch verzögert auf legitime Anforderungen reagiert.

• Er kann die Spuren seines Angriffs vertuschen.

• Er kann Benutzer vom Zugriff auf die Netzwerkressourcen abhalten.

Abhöraktionen ("Sniffing", "Snooping")

Abhöraktionen sind Aktionen, bei denen sich Angreifer Zugriff auf den Datenpfad in einem Netzwerk verschaffen und anschließend den Datenverkehr überwachen und lesen können. Dies wird auch als „Schnüffeln“ (auch „Lauschangriff“, englisch Sniffing oder Snooping) bezeichnet. Wenn der Datenverkehr aus reinem Text besteht, können Angreifer ihn lesen, sobald sie Zugriff auf den Pfad haben. Ein Beispiel wäre ein Angriff, bei dem ein Router auf dem Datenpfad kontrolliert wird.

Die Standardempfehlung und -einstellung für Datenverkehr in Microsoft Lync Server 2013 ist die Verwendung von mutual TLS (MTLS) zwischen vertrauenswürdigen Servern und TLS vom Client zum Server. Diese Schutzmaßnahme macht einen derartigen Angriff innerhalb der Zeitspanne, in der eine Unterhaltung erfolgt, äußerst schwer oder unmöglich. Mit TLS werden alle Parteien authentifiziert und der gesamte Datenverkehr wird verschlüsselt. Damit können Abhöraktionen nicht verhindert werden, aber Angreifer können den Datenverkehr nicht lesen, es sei denn, die Verschlüsselung geht verloren.

Das Traversal Using Relay NAT (TURN)-Protokoll schreibt nicht die Verschlüsselung des Datenverkehrs vor, und die gesendeten Informationen werden durch die Nachrichtenintegrität geschützt. Obwohl es für Lauschangriffe offen ist, können die gesendeten Informationen (d. h. die IP-Adressen und der Port) direkt extrahiert werden, indem Sie einfach die Quell- und Zieladressen der Pakete betrachten. Der A/V-Edgedienst stellt sicher, dass die Daten gültig sind, indem die Nachrichtenintegrität der Nachricht mithilfe des Schlüssels überprüft wird, der von einigen Elementen abgeleitet wurde, einschließlich eines TURN-Kennworts, das niemals im Klartext gesendet wird. Wenn Secure Real Time Protocol (SRTP) verwendet wird, wird auch der Mediendatenverkehr verschlüsselt.

Identitätsvortäuschung (Spoofing der IP-Adresse)

Spoofing liegt vor, wenn Angreifer unbefugt die IP-Adresse eines Netzwerks, Computers oder einer Netzwerkkomponente ermitteln und verwenden. Nach einem erfolgreichen Angriff können sich Angreifer als die normalerweise durch diese IP-Adresse identifizierte Entität ausgeben. Im Kontext von Microsoft Lync Server 2013 kommt diese Situation nur ins Spiel, wenn ein Administrator beide der folgenden Aktionen ausgeführt hat:

• Er hat Verbindungen konfiguriert, die nur TCP (Transmission Control Protocol) unterstützen. (Dies ist nicht zu empfehlen, da die TCP-Kommunikation unverschlüsselt ist.)

• Er hat die IP-Adressen dieser Verbindungen als vertrauenswürdige Hosts markiert.

Dies ist für TLS-Verbindungen (Transport Layer Security) weniger ein Problem, da TLS alle Parteien authentifiziert und den gesamten Datenverkehr verschlüsselt. Die Verwendung von TLS verhindert Spoofingangriffe auf bestimmte Verbindungen (Mutual TLS-Verbindungen). Ein Angreifer könnte jedoch weiterhin die Adresse des DNS-Servers spoofieren, den Lync Server 2013 verwendet. Da die Authentifizierung in Lync jedoch mit Zertifikaten durchgeführt wird, verfügt ein Angreifer nicht über ein gültiges Zertifikat, das erforderlich ist, um eine der Beteiligten in der Kommunikation zu spoofieren.

Man-in-the-Middle-Angriff

Von einem „Man-in-the-Middle-Angriff“ spricht man, wenn Angreifer die Kommunikation zwischen zwei Nutzern ohne deren Wissen über ihren eigenen Computer leiten. Die Angreifer können die übertragenen Daten überwachen und lesen, ehe sie an den eigentlichen Empfänger weitergeleitet werden. Beide Kommunikationspartner senden unwissentlich Daten an die Angreifer und empfangen von ihnen Daten, sind aber dabei in dem Glauben, ausschließlich mit der beabsichtigten Person zu kommunizieren. Dies kann passieren, wenn es Angreifern gelingt, die Active Directory-Domänendienste so zu ändern, dass ihr Server als vertrauenswürdiger Server hinzugefügt wird, oder wenn sie den DNS-Eintrag (Domain Name System) so ändern können, dass Clients auf ihrem Weg zum Server über den Computer der Angreifer geleitet werden. Ein Man-in-the-Middle-Angriff kann auch bei Mediendatenverkehr zwischen zwei Clients erfolgen, wobei jedoch in skype16_server_short Point-to-Point-Audio-, Video- und Anwendungsfreigabe-Datenströme mit dem Secure Real-Time Transport Protocol (SRTP) verschlüsselt werden. In Microsoft Lync Server 2013(Punkt-zu-Punkt-Audio-, Video- und Anwendungsfreigabe) werden Datenströme jedoch mit SRTP verschlüsselt, wobei Kryptografieschlüssel verwendet werden, die zwischen den Peers ausgehandelt werden, die das Session Initiation Protocol (SIP) über TLS verwenden. Server wie Gruppenchat nutzen HTTPS zur Erhöhung der Sicherheit des Webdatenverkehrs.

Angriff mit Aufzeichnungswiederholung (RTP-Datenverkehr)

Ein Replay-Angriff tritt auf, wenn eine gültige Medienübertragung zwischen zwei Parteien abgefangen und zu böswilligen Zwecken erneut übertragen wird. SRTP, das in Verbindung mit einem sicheren Signalisierungsprotokoll verwendet wird, schützt Übertragungen vor Replay-Angriffen, indem es dem Empfänger ermöglicht wird, einen Index der bereits empfangenen RTP-Pakete aufrechtzuerhalten und jedes neue Paket mit denen zu vergleichen, die bereits im Index aufgeführt sind.

SPIM (Spam over Instant Messaging)

Spim ist unerwünschte kommerzielle Chatnachrichten oder Anwesenheitsabonnementanfragen. Das an sich ist zwar keine Kompromittierung des Netzwerks, aber es ist dennoch mindestens ärgerlich, kann Ressourcenverfügbarkeit und Produktion verringern und möglicherweise zu einer Beeinträchtigung des Netzwerks führen. Ein Beispiel dafür sind Angreifer, die sich gegenseitig durch das Senden von Anforderungen überbieten. Benutzer können sich gegenseitig blockieren, um dies zu verhindern, aber in einem Partnerverbund kann dies schwierig sein, wenn ein koordinierter Spim-Angriff erfolgt, sei denn, Sie deaktivieren den Verbund für den Partner.

Viren und Würmer

Ein Virus ist eine Codeeinheit, deren Zweck es ist, zusätzliche, ähnliche Codeeinheiten zu reproduzieren. Ein Virus benötigt, um zu funktionieren, einen Host, z. B. eine Datei, eine E-Mail oder ein Programm. Ein Wurm ist eine Codeeinheit, deren Zweck darin besteht, zusätzliche, ähnliche Codeeinheiten zu reproduzieren, aber er benötigt keinen Host. Viren und Würmer treten vor allem bei Dateiübertragungen zwischen Clients oder beim Versenden von URLs von anderen Benutzern auf. Wenn sich ein Virus auf Ihrem Computer befindet, kann er beispielsweise Ihre Identität verwenden und Sofortnachrichten in Ihrem Namen versenden.

Informationen zur Identifikation von Personen

Microsoft Lync Server 2013 hat das Potenzial, Informationen über ein öffentliches Netzwerk offenzulegen, die möglicherweise mit einer Person verknüpft werden können. Bei diesen Informationen kann es sich um zwei Kategorien von Angaben handeln:

• Erweiterte Anwesenheitsdaten Erweiterte Anwesenheitsdaten sind Informationen, die ein Benutzer über einen Link zu einem Verbundpartner oder mit Kontakten innerhalb einer Organisation freigeben oder nicht freigeben kann. Diese Daten werden nicht an Benutzer in einem öffentlichen IM-Netzwerk weitergegeben. Client-Richtlinien und andere Client-Konfigurationen können dem Systemadministrator eine gewisse Kontrolle verschaffen. In Lync Server 2013 kann der erweiterte Anwesenheitsschutzmodus für einen einzelnen Benutzer konfiguriert werden, um zu verhindern, dass Lync-Benutzer, die sich nicht in der Kontaktliste des Benutzers befinden, die Anwesenheitsinformationen des Benutzers sehen. Der erweiterte Datenschutzmodus für Anwesenheitsinformationen verhindert nicht, dass Benutzer von Microsoft Office Communicator 2007 und Microsoft Office Communicator 2007 R2 die Anwesenheitsinformationen eines Benutzers sehen. Ausführliche Informationen finden Sie in der Dokumentation zum Erste Schritte und konfigurieren des erweiterten Datenschutzmodus für Anwesenheitsinformationen in Lync Server 2013 in der Bereitstellungsdokumentation unter "Neuigkeiten für Clients in Lync Server 2013".

• Pflichtdaten Obligatorische Daten sind für den ordnungsgemäßen Betrieb des Servers oder des Clients erforderlich und nicht unter der Kontrolle des Clients oder der Systemadministration. Es handelt sich um Informationen, die auf Server- oder Netzwerkebene für das Routing, die Statuspflege und die Signalübermittlung erforderlich sind.

In den folgenden Tabellen wird angegeben, welche Daten über ein öffentliches Netzwerk offengelegt werden.

Erweiterte Anwesenheitsdaten

Pflichtdaten