Alle Tabs der Lerneinheit (Erklärung · Interaktiv verstehen · Praxis-Übung · Klausur-Quiz) als durchgehender Text. Ideal zum Wiederholen vor der Klausur, und für Suchmaschinen wie Google, Bing und KI-Suche (ChatGPT, Perplexity).
Erklärung
Sicherheit: TLS, VPN und Firewalls
Daten reisen durch fremde Netze, über WLANs, Router und Provider, die man nicht kontrolliert. Wie schützt man sie? Drei Bausteine greifen ineinander: TLS verschlüsselt einzelne Verbindungen, ein VPN tunnelt den ganzen Verkehr sicher durch ein unsicheres Netz, und eine Firewall entscheidet, welcher Verkehr überhaupt durchdarf.
Was du in der Klausur können musst:
- den TLS-Handshake: asymmetrischer Schlüsseltausch, dann symmetrische Verschlüsselung
- Zertifikate und PKI als Vertrauensanker
- VPN als verschlüsselter Tunnel (Site-to-Site, Remote-Access)
- Firewall-Typen (Paketfilter vs. stateful) und die Schutzziele (CIA)
Die Idee in einem Satz
TLS sichert eine einzelne Verbindung (z.B. HTTPS), ein VPN verschlüsselt und tunnelt den gesamten Verkehr durch ein unsicheres Netz, und eine Firewall filtert nach Regeln, welcher Verkehr passieren darf.
Schutzziele (CIA)
Jede Sicherheitsmaßnahme zielt auf drei Eigenschaften:
- Vertraulichkeit (Confidentiality): nur Befugte lesen die Daten.
- Integrität (Integrity): die Daten werden nicht unbemerkt verändert.
- Verfügbarkeit (Availability): das System ist erreichbar, wenn man es braucht.
TLS: die Verbindung verschlüsseln
TLS (Transport Layer Security) sichert die Verbindung zwischen zwei Parteien. HTTPS ist HTTP über TLS (Port 443). Der Trick ist die Kombination zweier Verfahren:
- asymmetrisch (langsam, aber ohne vorab geteiltes Geheimnis): nur für den Schlüsseltausch und die Authentifizierung über das Zertifikat.
- symmetrisch (schnell): für die eigentlichen Anwendungsdaten, mit dem ausgehandelten Sitzungsschlüssel.
Das Zertifikat des Servers wird von einer Zertifizierungsstelle (CA) signiert. Über die PKI (Public-Key-Infrastruktur) und die CA-Kette entsteht Vertrauen in die Identität des Servers. Sieh dir den Ablauf an:
Interaktive Visualisierung
Interaktive Komponente: probiere sie im Topic-Player oben aus.
VPN: der verschlüsselte Tunnel
Ein VPN (Virtual Private Network) baut einen verschlüsselten Tunnel durch ein unsicheres Netz (z.B. das Internet) auf. So wirkt ein entfernter Rechner, als säße er im privaten Netz.
- Site-to-Site: verbindet zwei Standorte (Firmennetze) dauerhaft.
- Remote-Access: einzelne Nutzer (Homeoffice) wählen sich ins Firmennetz ein.
- Protokolle: IPsec, OpenVPN, WireGuard.
VPNs sichern den Transport und verschleiern die eigene IP gegenüber dem Ziel, machen aber nicht automatisch anonym: der VPN-Anbieter selbst sieht den Verkehr.
Firewall: den Verkehr filtern
Eine Firewall kontrolliert anhand von Regeln, welcher Verkehr passieren darf. Eine Regel betrachtet typischerweise Quelle, Ziel, Port und Protokoll und endet mit einer Aktion (erlauben oder verwerfen).
| Quelle | Ziel | Port | Aktion |
|---|---|---|---|
| intern | beliebig | 443 | erlauben |
| beliebig | Webserver | 80, 443 | erlauben |
| beliebig | beliebig | beliebig | verwerfen (Default-Deny) |
- Paketfilter (zustandslos): prüft jedes Paket einzeln anhand von IP und Port, ohne Verbindungskontext.
- Stateful Firewall: verfolgt den Verbindungszustand und erlaubt Antwortpakete zu bestehenden Verbindungen automatisch.
- Default-Deny: alles ist verboten, außer explizit erlaubt, das ist sicherer als Default-Allow.
- DMZ: eine entmilitarisierte Zone trennt öffentlich erreichbare Server (Webserver) vom internen Netz.
Klausur-Faustregeln
1. TLS = Verbindungsverschlüsselung. Handshake tauscht asymmetrisch einen symmetrischen Sitzungsschlüssel, danach symmetrische Daten. HTTPS = HTTP über TLS (Port 443).
2. Zertifikat + PKI. Der Server beweist seine Identität über ein CA-signiertes Zertifikat; Vertrauen entsteht über die CA-Kette.
3. VPN = verschlüsselter Tunnel durch ein unsicheres Netz (IPsec, WireGuard). Site-to-Site oder Remote-Access.
4. Firewall filtert nach Regeln (Quelle, Ziel, Port, Aktion). Default-Deny ist sicherer als Default-Allow.
5. Paketfilter (zustandslos) vs. stateful (verfolgt den Verbindungszustand).
6. Schutzziele (CIA): Vertraulichkeit, Integrität, Verfügbarkeit.
Häufige Stolpersteine
1. TLS verschlüsselt alles asymmetrisch. Falsch. Asymmetrisch dient nur dem Schlüsseltausch und der Authentifizierung. Die Daten gehen danach symmetrisch (viel schneller).
2. VPN macht anonym. Ein VPN verschlüsselt und tunnelt, aber der VPN-Anbieter sieht den Verkehr. Anonymität ist etwas anderes (z.B. Tor).
3. Firewall ist ein Virenschutz. Eine Firewall filtert Verkehr nach Regeln, sie scannt keine Dateiinhalte auf Schadsoftware.
4. HTTPS schützt den Server. TLS sichert nur den Transportweg. Eine unsichere Anwendung hinter HTTPS bleibt unsicher.
5. Zustandslos und stateful gleichsetzen. Ein zustandsloser Paketfilter kennt keinen Verbindungskontext und kann Antwortpakete nicht automatisch zuordnen.
6. Selbstsignierte Zertifikate für sicher halten. Die Verschlüsselung steht zwar, aber ohne CA-Vertrauen ist die Identität ungeprüft, deshalb warnt der Browser.
Interaktiv verstehen
Den Handshake durchspielen
Gehe Schritt für Schritt durch den TLS-Handshake. Achte auf den Moment, in dem von der asymmetrischen Aushandlung auf die symmetrische Verschlüsselung der Anwendungsdaten umgeschaltet wird (Schloss-Symbol).
Interaktive Visualisierung
Interaktive Komponente: probiere sie im Topic-Player oben aus.
Klausur-Tipp: Die häufigste Frage ist, warum TLS beide Verfahren nutzt. Antwort: asymmetrisch, um ohne vorher geteiltes Geheimnis sicher einen Schlüssel auszutauschen und den Server zu authentifizieren; symmetrisch, weil das für die Datenmenge schnell genug ist.
Praxis-Übung
Klausurfragen mit Lösungen (6)
- F1.Was ist HTTPS?
Antwort: HTTP über TLS, also verschlüsselt (Port 443)
Erklärung: HTTPS ist HTTP über TLS: der HTTP-Verkehr wird durch eine TLS-Verschlüsselung gesichert. Standard-Port ist 443 (HTTP allein nutzt 80).
- F2.Was ist die Hauptaufgabe einer Firewall?
Antwort: Netzwerkverkehr nach Regeln filtern (erlauben oder verwerfen)
Erklärung: Eine Firewall kontrolliert anhand von Regeln (Quelle, Ziel, Port, Aktion), welcher Verkehr passieren darf. Sie verschlüsselt nicht und scannt keine Dateiinhalte auf Malware.
- F3.Wozu dient der asymmetrische Teil des TLS-Handshakes?
Antwort: zum sicheren Austausch des symmetrischen Sitzungsschlüssels und zur Authentifizierung
Erklärung: Asymmetrische Kryptografie ermöglicht den sicheren Schlüsseltausch ohne vorher geteiltes Geheimnis und die Authentifizierung des Servers über sein Zertifikat. Die Daten selbst gehen danach symmetrisch (schneller).
- F4.Ordne jeden Baustein seiner Aufgabe zu.
Zuordnungen:
- TLS → eine Verbindung verschlüsseln (HTTPS)
- VPN → verschlüsselter Tunnel durch ein unsicheres Netz
- Firewall → Verkehr nach Regeln filtern
- Zertifikat (PKI) → Identität des Servers nachweisen
Erklärung: TLS = Verbindungsverschlüsselung, VPN = Tunnel, Firewall = Zugangskontrolle, Zertifikat = Authentizität über die CA-Kette.
Typ: Zuordnung
- F5.Ein VPN macht den Nutzer automatisch anonym.
Antwort: Falsch
Erklärung: Falsch. Ein VPN verschlüsselt den Verkehr und verschleiert die IP gegenüber dem Ziel, aber der VPN-Anbieter selbst sieht den Verkehr. Anonymität erfordert andere Mittel (z.B. Tor).
Typ: Wahr/Falsch
- F6.Worin unterscheidet sich eine stateful Firewall von einem zustandslosen Paketfilter?
Antwort: sie verfolgt den Verbindungszustand und ordnet Antwortpakete bestehenden Verbindungen zu
Erklärung: Eine stateful Firewall merkt sich aktive Verbindungen und lässt zugehörige Antwortpakete automatisch durch. Ein zustandsloser Paketfilter prüft jedes Paket isoliert, ohne Verbindungskontext.
Klausur-Quiz
Klausurfragen mit Lösungen (6)
- F1.Welche drei Schutzziele fasst CIA zusammen?
Antwort: Vertraulichkeit, Integrität, Verfügbarkeit
Erklärung: CIA steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit), die drei klassischen Schutzziele der Informationssicherheit.
- F2.Über welchen Port läuft HTTPS standardmäßig?
Antwort: 443
Erklärung: HTTPS nutzt standardmäßig Port 443. Port 80 ist unverschlüsseltes HTTP, 22 ist SSH, 53 ist DNS.
- F3.Warum kombiniert TLS asymmetrische und symmetrische Verschlüsselung?
Antwort: asymmetrisch für den sicheren Schlüsseltausch und die Authentifizierung, symmetrisch für die schnelle Datenverschlüsselung
Erklärung: Asymmetrische Verfahren lösen den Schlüsseltausch und die Authentifizierung, sind aber langsam. Daher wird nur der Sitzungsschlüssel asymmetrisch ausgehandelt; die Daten verschlüsselt man dann effizient symmetrisch.
- F4.{{1}} sichert eine einzelne Verbindung (HTTPS), ein {{2}} tunnelt den gesamten Verkehr verschlüsselt durch ein unsicheres Netz, und eine {{3}} filtert nach Regeln, welcher Verkehr durchdarf.
Lösungen pro Lücke:
- {{1}}: TLS / SSL/TLS
- {{2}}: VPN
- {{3}}: Firewall
Erklärung: TLS = Verbindung, VPN = Tunnel, Firewall = Filter. Die drei Bausteine adressieren unterschiedliche Sicherheitsebenen.
Typ: Lückentext
- F5.Was beweist ein von einer CA signiertes Zertifikat?
Antwort: die Identität (Authentizität) des Servers, abgesichert über die CA-Vertrauenskette
Erklärung: Ein CA-signiertes Zertifikat bindet einen öffentlichen Schlüssel an eine geprüfte Identität. Der Client vertraut der CA und damit dem Zertifikat (PKI). So ist sicher, dass man wirklich mit dem echten Server spricht.
- F6.Eine Firewall arbeitet mit einer Default-Deny-Policy. Was bedeutet das?
Antwort: alles ist verboten, außer explizit erlaubt
Erklärung: Default-Deny bedeutet: jeglicher Verkehr ist standardmäßig blockiert, nur ausdrücklich erlaubte Verbindungen kommen durch. Das ist sicherer als Default-Allow, weil vergessene Regeln nicht ungewollt Verkehr durchlassen.