BLOG

Einführung von TLS 1.3 im Unternehmen

F5 Miniaturansicht
F5
Veröffentlicht am 21. Mai 2019

Seit der Veröffentlichung der neuen Transport Layer Security (TLS) 1.3-Spezifikation durch die IETF im vergangenen August ziehen viele Organisationen Pläne für die Einführung des neuen Standards in Erwägung. F5 hat bei Enterprise Management Associates ein Forschungsprojekt in Auftrag gegeben, um besser zu verstehen, wie sich Unternehmen insgesamt an die zunehmende Verwendung von Verschlüsselung anpassen. Zwar haben einige Branchengruppen erhebliche Bedenken hinsichtlich der Möglichkeit geäußert, mit TLS 1.3 den Datenverkehr zu entschlüsseln und auf Fehlersuche und mögliche Schadsoftware zu untersuchen. Die gute Nachricht ist jedoch, dass ein beträchtlicher Prozentsatz der Umfrageteilnehmer entweder bereits dabei ist, TLS 1.3 zu aktivieren, oder dies bald plant. Ein weiteres gutes Zeichen ist, dass eine deutliche Mehrheit der Umfrageteilnehmer angab, auf technischer Ebene mit TLS 1.3 vertraut zu sein.

Mehrere Faktoren haben zu den Plänen für eine schnelle Einführung des neuen Standards geführt. Ein Grund hierfür ist, dass die großen Webserver- und Browser-Anbieter TLS 1.3 bereits in ihren Produkten implementiert haben. Ein weiterer Grund sind die wahrgenommenen Vorteile hinsichtlich verbesserter Privatsphäre und End-to-End Datensicherheit, die die TLS 1.3-Erweiterungen mit sich bringen. Es gibt kryptografische Protokolle wie TLS, die verhindern sollen, dass Angreifer Daten abhören und manipulieren. Bedenken hinsichtlich der Überwachung der Application geben jedoch Anlass zur Vorsicht.

Die Verwendung von Verschlüsselung im Internet hat in den letzten Jahren erheblich zugenommen. Der TLS-Telemetriebericht 2017 von F5 Labs stellt fest, dass 81 % der Webseiten jetzt über HTTPS geladen werden. Während der Einsatz von Verschlüsselung in Rechenzentren und Unternehmensnetzwerken in den letzten 18 Monaten am stärksten zugenommen hat, werden die Unternehmen in den nächsten 18 Monaten ihre Aufmerksamkeit auf intern entwickelte Applications und Webdienste richten.

Angesichts der Auswirkungen der TLS 1.3-Spezifikation äußerte eine klare Mehrheit der Befragten sowohl betriebliche als auch sicherheitsbezogene Bedenken hinsichtlich der Implementierung von TLS 1.3 in ihren Organisationen. Aus der Umfrage ging hervor, dass 56 % aller Befragten gewisse oder erhebliche betriebliche Bedenken äußerten, während 61 % gewisse oder erhebliche Sicherheitsbedenken äußerten.

Abbildung 1: Ausmaß der Betriebs- und Sicherheitsbedenken bei der Implementierung von TLS 1.3

Die größte Sicherheitssorge galt der Transparenz in Bezug auf die Application und das Rechenzentrum. 57 % der Befragten gaben an, dass ihre größte Sorge die Unfähigkeit zur Überwachung der Application sei.   

Abbildung 2: Verlorene Transparenz in der Application ist die größte Sorge

Wovor haben sie Angst?

Fehlendes bösartiges Verhalten, das sich im legitimen Datenverkehr versteckt. Nur 6 % zeigten sich überhaupt nicht besorgt.

Abbildung 3: Da immer mehr Netzwerkverkehr verschlüsselt wird, wie besorgt ist Ihr Unternehmen darüber, dass Ihre bestehenden Sicherheitsüberwachungsmethoden/-techniken in verschlüsselten Dateien versteckte Malware übersehen?

Trotz dieser Bedenken gibt es kein Zurück. Aus politischer Sicht ist für Unternehmen der Einsatz von Transportverschlüsselung zum Schutz von Daten eindeutig vorgeschrieben, und TLS ist das Protokoll der Wahl.

Um zu verstehen, wie Organisationen mit TLS 1.3-Bereitstellungen sowie mit Strategien, Richtlinien, Praktiken und Bedenken umgehen, können Sie hier auf den vollständigen Bericht zur TLS 1.3-Einführung im Unternehmen zugreifen.