Anzeige

Web

Die Verschlüsselung von Daten mittels SSL- oder TLS-Zertifikat ist ein probates Mittel, die Sicherheit im Internet zu erhöhen. Ordentlich implementiert und sinnvoll konfiguriert ist moderne Verschlüsselung schwer zu knacken.

„Nichtsdestotrotz gibt es Kriminelle, die sich davon nicht einschüchtern lassen, und denen es gelingen kann, die Verschlüsselung zu umgehen“, macht Patrycja Tulinska aufmerksam.

Die Geschäftsführerin der PSW GROUP nennt mit SSL-Stripping sowie Man-in-the-middle-Attacken in diesem Zusammenhang zwei Gefahren im Internet, die nicht unterschätzt werden dürfen: „Das Programm SSLstrip beispielsweise positioniert sich zwischen Client und Server und greift Daten vor ihrer Verschlüsselung – auf dem Weg zwischen Server und Website – ab. Damit können Angreifer, die dieses Tool nutzen, sämtliche Daten im Klartext mitlesen, die Kunden an einen Online-Shop übermitteln“, warnt die Expertin. Da SSL-Stripping keine Warnmeldung im Browser erzeugt, bekommt auch niemand etwas davon mit. „Um SSL-Stripping zu verhindern, können Websitebetreiber die Verschlüsselung für alle Unterseiten der Webpräsenz aktivieren. Zudem sollten eingehende http-Verbindungen auf sichere HTTPS-Verbindungen umgeleitet werden. Auch Cookies sollten keinesfalls über ungesicherte HTTP-Verbindungen zurückgesendet werden“, rät Patrycja Tulinska.

Eine ähnliche Methode wie SSL-Stripping sind Man-in-the-middle-Attacken (MitM-Attacken). Der Angreifer schaltet sich zwischen das Opfer, also den Client, und der durch das Opfer verwendeten Ressource, den Server, und verbirgt sein Tun. Sowohl vor dem Client als auch vor dem Server gibt sich der Angreifer als eigentlicher Kommunikationspartner aus. „Mit den so abgefangenen Informationen können Angreifer verschiedene Aktionen starten: Identitätsdiebstahl ist genauso möglich wie das Fälschen von Transaktionen oder das Stehlen geistigen Eigentums. Eine starke Ende-zu-Ende-Verschlüsselung gehört zu den wirksamsten Mitteln gegen Man-in-the-Middle-Attacken. Denn so liegen Daten auch auf Teilstrecken nie in unverschlüsselter Form vor“, so Tulinska.

Glücklicherweise wurden in den letzten Jahren zusätzliche Mechanismen entwickelt, den verschlüsselten Internetverkehr weiter zu stärken, wenngleich sich nicht alle durchgesetzt haben:

HPKP: Doppelte Prüfung

Das HTTP Public Key Pinning wurde als Verfahren eingeführt, um insbesondere MitM-Angriffe zu verhindern. Dem Browser soll mitgeteilt werden, dass ein SSL-Zertifikat aus der Zertifikatskette vertrauenswürdig ist. „Die Erweiterung für das HTTP-Protokoll erlaubt es, Public-Key-Sets für künftige verschlüsselte Verbindungen zu bestimmten Hosts festzulegen. Ein Client, der auf einen Server zugreift, erfährt dadurch erst bei der Kontaktaufnahme, welcher öffentliche Schlüssel des Hosts vertrauenswürdig ist“, erklärt Tulinska, kritisiert jedoch, dass das Verfahren nicht den ersten Besuch schützen kann, bei dem es darum geht, die öffentlichen Schlüssel zu übermitteln. „Eine hohe Komplexität bei der Konfiguration, die sogar zur langfristigen Aussperrung von Nutzern führen kann, sowie eine geringe Verbreitung sind weitere Probleme des Verfahrens.“ 

CT: Durch Transparenz zu Sicherheit

Eine weitere Maßnahme, Verschlüsselung sicherer werden zu lassen, stammt von Google selbst und nennt sich Certificate Transparency (CT). Vereinfacht gesagt, sollen damit Zertifikate, die von Certificate Authorities (CAs) ausgestellt wurden, protokolliert, kontrolliert und überwacht werden: Versäumen es Zertifizierungsstellen, Zertifikate gemäß IETF-RFC 6962 auszustellen, zeigt Chrome beim Besuch einer solchen Website eine entsprechende CT-Warnung an. 

HSTS: Erweiterung für Pflichtverschlüsselung

Durch die Erweiterung von HTTP um Strict Transport Security, HSTS genannt, sollen Browser für eine bestimmte Zeit ausschließlich auf sichere, also verschlüsselte Verbindungen zugreifen. Damit wird schon zu Beginn einer Verbindung eine HTTPS-Verschlüsselung erzwungen, sodass die Gefahr von MitM-Angriffen sinkt. Tatsächlich konnte sich HSTS etablieren: Neben Facebook nutzen beispielsweise auch Google, Twitter oder PayPal diese Erweiterung.

Allerdings gibt es ein Problem mit dem Datenschutz: Damit sich der Browser des Anwenders merken kann, auf welchen Sites HSTS genutzt wird, werden Einträge, die Cookies ähneln, in Browserdatenbanken gespeichert. Aufgrund der Schutzfunktion von HSTS werden HSTS-Einträge auch im privaten Modus aktiviert, sodass sie von besuchten Sites überprüft werden können. „Genau hier liegt die Gefahr, denn so wird HSTS zu einer effizienten Methode der Nutzerverfolgung. HSTS-Einträge sind somit als sogenannte SuperCookies zu bezeichnen“, macht Tulinska aufmerksam, beruhigt aber: „Es gibt Maßnahmen, die das Tracking unterbinden, aber die Schutzwirkung von HSTS nicht herabsetzen.“ 

www.psw-group.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Datenschutz
Nov 05, 2020

Best-Practice-Ansätze für das Datenschutzmanagement

Der bloße Einsatz eines „klassischen“ Datenschutzbeauftragten reicht heute nicht mehr…
Website
Okt 09, 2020

Nicht mehr, sondern weniger Internet-Sicherheit

Vertrauenswürdige Webseiten sind die Grundlage für eine sichere Online-Kommunikation und…
Whitepaper Starke Authentifizierung
Sep 01, 2020

Starke Authentifizierung. Einfach.

Eine Alltagsweisheit lautet: Doppelt hält besser. Und doppelte Sicherheit – das bietet…

Weitere Artikel

Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.
Phishing

Phishing-Kampagnen: Wer ist besonders gefährdet?

Mit Gmail ist Google einer der größten E-Mail-Anbieter weltweit und zählt sowohl Privatpersonen als auch Unternehmen zu seinen Kunden. Einer der wichtigsten Faktoren bei der Auswahl des Providers dürfte für Unternehmen dabei das Thema Sicherheit sein. Dazu…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!