Bedrohungen im World Wide Web

Die Verschlüsselung von Daten mittels SSL- oder TLS-Zertifikat ist ein probates Mittel, die Sicherheit im Internet zu erhöhen. Ordentlich implementiert und sinnvoll konfiguriert ist moderne Verschlüsselung schwer zu knacken.

„Nichtsdestotrotz gibt es Kriminelle, die sich davon nicht einschüchtern lassen, und denen es gelingen kann, die Verschlüsselung zu umgehen“, macht Patrycja Tulinska aufmerksam.

Anzeige

Die Geschäftsführerin der PSW GROUP nennt mit SSL-Stripping sowie Man-in-the-middle-Attacken in diesem Zusammenhang zwei Gefahren im Internet, die nicht unterschätzt werden dürfen: „Das Programm SSLstrip beispielsweise positioniert sich zwischen Client und Server und greift Daten vor ihrer Verschlüsselung – auf dem Weg zwischen Server und Website – ab. Damit können Angreifer, die dieses Tool nutzen, sämtliche Daten im Klartext mitlesen, die Kunden an einen Online-Shop übermitteln“, warnt die Expertin. Da SSL-Stripping keine Warnmeldung im Browser erzeugt, bekommt auch niemand etwas davon mit. „Um SSL-Stripping zu verhindern, können Websitebetreiber die Verschlüsselung für alle Unterseiten der Webpräsenz aktivieren. Zudem sollten eingehende http-Verbindungen auf sichere HTTPS-Verbindungen umgeleitet werden. Auch Cookies sollten keinesfalls über ungesicherte HTTP-Verbindungen zurückgesendet werden“, rät Patrycja Tulinska.

Eine ähnliche Methode wie SSL-Stripping sind Man-in-the-middle-Attacken (MitM-Attacken). Der Angreifer schaltet sich zwischen das Opfer, also den Client, und der durch das Opfer verwendeten Ressource, den Server, und verbirgt sein Tun. Sowohl vor dem Client als auch vor dem Server gibt sich der Angreifer als eigentlicher Kommunikationspartner aus. „Mit den so abgefangenen Informationen können Angreifer verschiedene Aktionen starten: Identitätsdiebstahl ist genauso möglich wie das Fälschen von Transaktionen oder das Stehlen geistigen Eigentums. Eine starke Ende-zu-Ende-Verschlüsselung gehört zu den wirksamsten Mitteln gegen Man-in-the-Middle-Attacken. Denn so liegen Daten auch auf Teilstrecken nie in unverschlüsselter Form vor“, so Tulinska.

Glücklicherweise wurden in den letzten Jahren zusätzliche Mechanismen entwickelt, den verschlüsselten Internetverkehr weiter zu stärken, wenngleich sich nicht alle durchgesetzt haben:

HPKP: Doppelte Prüfung

Das HTTP Public Key Pinning wurde als Verfahren eingeführt, um insbesondere MitM-Angriffe zu verhindern. Dem Browser soll mitgeteilt werden, dass ein SSL-Zertifikat aus der Zertifikatskette vertrauenswürdig ist. „Die Erweiterung für das HTTP-Protokoll erlaubt es, Public-Key-Sets für künftige verschlüsselte Verbindungen zu bestimmten Hosts festzulegen. Ein Client, der auf einen Server zugreift, erfährt dadurch erst bei der Kontaktaufnahme, welcher öffentliche Schlüssel des Hosts vertrauenswürdig ist“, erklärt Tulinska, kritisiert jedoch, dass das Verfahren nicht den ersten Besuch schützen kann, bei dem es darum geht, die öffentlichen Schlüssel zu übermitteln. „Eine hohe Komplexität bei der Konfiguration, die sogar zur langfristigen Aussperrung von Nutzern führen kann, sowie eine geringe Verbreitung sind weitere Probleme des Verfahrens.“ 

CT: Durch Transparenz zu Sicherheit

Eine weitere Maßnahme, Verschlüsselung sicherer werden zu lassen, stammt von Google selbst und nennt sich Certificate Transparency (CT). Vereinfacht gesagt, sollen damit Zertifikate, die von Certificate Authorities (CAs) ausgestellt wurden, protokolliert, kontrolliert und überwacht werden: Versäumen es Zertifizierungsstellen, Zertifikate gemäß IETF-RFC 6962 auszustellen, zeigt Chrome beim Besuch einer solchen Website eine entsprechende CT-Warnung an. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

HSTS: Erweiterung für Pflichtverschlüsselung

Durch die Erweiterung von HTTP um Strict Transport Security, HSTS genannt, sollen Browser für eine bestimmte Zeit ausschließlich auf sichere, also verschlüsselte Verbindungen zugreifen. Damit wird schon zu Beginn einer Verbindung eine HTTPS-Verschlüsselung erzwungen, sodass die Gefahr von MitM-Angriffen sinkt. Tatsächlich konnte sich HSTS etablieren: Neben Facebook nutzen beispielsweise auch Google, Twitter oder PayPal diese Erweiterung.

Allerdings gibt es ein Problem mit dem Datenschutz: Damit sich der Browser des Anwenders merken kann, auf welchen Sites HSTS genutzt wird, werden Einträge, die Cookies ähneln, in Browserdatenbanken gespeichert. Aufgrund der Schutzfunktion von HSTS werden HSTS-Einträge auch im privaten Modus aktiviert, sodass sie von besuchten Sites überprüft werden können. „Genau hier liegt die Gefahr, denn so wird HSTS zu einer effizienten Methode der Nutzerverfolgung. HSTS-Einträge sind somit als sogenannte SuperCookies zu bezeichnen“, macht Tulinska aufmerksam, beruhigt aber: „Es gibt Maßnahmen, die das Tracking unterbinden, aber die Schutzwirkung von HSTS nicht herabsetzen.“ 

www.psw-group.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.