Datensicherheit hat einen hohen Wert erhalten. Einmal hat Eduard Snowden gezeigt, wie aktiv Geheimdienste dabei sind, Bürger auszuspähen.
Zum Anderen nutzen wir das Internet inzwischen so aktiv, daß durchaus sehr weitreichende Erkenntnisse möglich sind, wenn man weiß, wer welche Websites besucht, oder an welchen Suchen der einzelne Nutzer interessiert ist.
Aber auch im IoT kommt es auf Sicherheit an.
Ein Faktor der bestimmt, ob die Kommunikation sicher ist, ist hierbei das verwendete Internet – Protokoll. Das für die Kommunikation von User mit dem Server verwendete Protokoll, bzw die „Sprache“ kann man sehen, wenn man sich einmal die Angaben in der Adressenleiste des Internet Browsers ansieht. Das dort zu sehende Kürzel „http“ bezeichnet z.B. ein solches Protokoll.
Dabei ist das Protokoll „http“ so offen, daß ein Dritter die Inhalte leicht mitlesen kann, die ein Benutzer mit einer Website austauscht. Es soll sogar für einen Dritten relativ einfach möglich sein, herauszufinden, für welche Inhalte sich ein Nutzer interessiert.
Technisch gesehen, verfährt „http“ mit einer Nachricht also so, wie die Post mit Ansichtskarten: sie wird offen weitertransportiert und kann an jedem Übergabepunkt gelesen werden. Wenn Sie also z.B „http://Produkt-Manager.net“ im Browser eingeben, geben Sie indirekt immer auch Informationen preis.
Bei dieser fachlich orientierten Site hier ist dies vielleicht kein Problem. Beim Online-Banking wäre ein sicherer Kanal aber wichtig. Hier kommt die Verschlüsselung ins Spiel.
Eine einfache Möglichkeit, um Kommunikationssicherheit herzustellen, ist die Verschlüsselung der Kommunikation, die zwischen Nutzer und dem Server stattfindet, auf dem die Website gehostet wird. Das Protokoll „https“, das inzwischen auch als „Transport Layer Security (TLS)“ bezeichnet wird, erstellt hierfür einen verschlüsselten Tunnel zwischen den zwei Geräten (Computer des Nutzers, und Server, der die Website hostet), die ein Lauscher eben nicht so einfach abhören kann.
Damit https funktioniert, werden Zertifikate benötigt, mit dessen Hilfe sich Server gegenüber den Nutzern ausweisen können. Solche Zertifikate kann man sich selbst ausstellen. Sie müssen aber verifiziert und „gegengezeichnet“ werden, damit der Browser des Nutzers keinen Alarm schlägt. Erst wenn der Browser ein vertrauenswürdiges Zertifikat erkennt, akzeptiert er dieses. Ansonsten gibt er nämlich eine Warnung aus.
Über diesen Mechanismus des Gegenzeichnen der Zertifizierung kann man also sicherstellen, daß sich ein Lauscher nicht einfach selbst ein Zertifikat ausstellt, mit dem er vorgibt, jemand ganz anders zu sein.
Bisher war es notwendig solche Zertifikate zu kaufen, da man ja eine Stelle benötigt, die für das Zertifikat des Webseitenbetreibers bürgt, was mit relativ hohem Verwaltungsaufwand verbunden war. Dies hat gerade für kleine Webseitenbetreiber den verschlüsselten Kanal zu einer kostenintensiven Angelegenheit gemacht.
In der C’t 2015, Heft 25 war eine ganze Serie über das Thema Datensicherheit zu lesen, und die Weihnachtszeit gab mir auch reichlich gute Gelegenheit, dies auch zu tun.
Ein Artikel hat sich mit dem neuen Service „Let’s Encrypt“ (siehe Verweis am Artikelende) beschäftigt, der solche Zertifikate kostenlos herausgibt, und auch anstrebt, daß die Verwaltung der Zertifikatsablauftermine mittels Automation vereinfacht wird.
Neben der verbesserten Sicherheit hat die Umstellung auf https über z.B. Let’s Encrypt den interessanten Nebeneffekt, daß eine Website hiermit einen verbesserten Suchrang in den Suchmaschinen erhält, d.h leichter gefunden wird.
Die anliegende Homepage, die der Linux Foundation gehört, sagt hierzu
“Let’s Encrypt is a new Certificate Authority: It’s free, automated, and open. In Public Beta”
Wie Sie auf der Homepage des Projektes sehen, wird die Initiative von namhaften Unternehmen unterstützt, und von einer Firma herausgegeben, die als eine gemeinnützige Gesellschaft anerkannt ist, wie dort steht:
„Internet Security Research Group (ISRG) is a California public benefit corporation, and is recognized by the IRS as a tax-exempt organization under Section 501(c)(3) of the Internal Revenue Code. ISRG’s mission is to reduce financial, technological, and education barriers to secure communication over the Internet.”
Unter dem Oberpunkt „Technology“, wird auf der angegebenen Site erklärt, wie man den Service installiert. Es ist zu sehen, daß man sich mit der Serveradministration etwas auskennen sollte, die Installation sonst aber kein größeres Problem darstellt.
Die erwähnte Artikelserie in der CT geht darüberhinaus auf weitere Aspekte ein, die die Internet-Sicherheit verbessern, wie z.B das „Certificate Pinning“, und damit eine Methode, mit der man bestimmte Angriffsszenarien unmöglich macht.
Sobald ich wieder etwas zeitlichen Freiraum habe, werde ich Let’s Encrypt Zertifikate und dieses Pinning hier und auf meinen anderen Sites installieren.
Sollten Sie z.B. selbst einen eigenen Server einsetzen, um z.B., Ihre Wohnung zu steuern, würde ich Ihnen den Service von Let’s Encrypt ebenfalls empfehlen, um sich https zulegen.
Um beispielsweise Home-Automation Szenarios mit offener Software zu realisieren, wird gerne der Service und das Protokoll MQTT verwendet. Ein hierfür verwendeter Broker, den viele Nutzer einsetzen, hat den Namen Mosquitto. Speziell zu dessen Absicherung habe ich anliegenden Link gefunden.
Bei Ihrem Service mag es anders aussehen, aber das Prinzip ist ähnlich. Am Besten schauen Sie einmal bei Ihrem Anbieter nach.
Wer es bis hierher geschafft hat, wird sich vielleicht über die freien Fotos freuen, die ich Ihnen wieder unten verlinkt habe.
Und zwar hat die öffentliche Bibliothek New York historische Fotos freigegeben, die man nutzen oder auch einfach anschauen kann. Über den angebotenen Viewer gibt es viele interessante Fotos zu entdecken, wie z.B. historische Karten aus New York.
Das Original dieses Artikels ist auf →Der Produktmanager erschienen (©Andreas Rudolph). Regelmäßig neue Artikel gibt es über die (→Mailingliste), oder indem Sie →mir auf Twitter folgen.
In der Online Version des Artikels finden Sie hier die versprochenen weiterführenden Links: