Ist SSL wirklich sicher?

verbindungssicherheit

Gibt es sichere Verbindungen?
Meine Verbindung zur Webseite ist durch ein Zertifikat (https) geschützt, was ich jedem Seitenbetreiber auch nur raten kann. Zuvor wurde das Passwortfeld zum Login ins Backend vom Firefox Browser durch eine Warnung übdeckt. Gut man kann bei CMS Seiten, wie z. B. Joomla! dieses Übel umgehen, indem das Login versteckt wird, allerdings muss dafür in der Adresszeile der komplette URL mit "/administrator" eingegeben werden. Wie unzureichend aber Browser diese SSL-Sicherheitszertifikate einschätzen, wurde bereits 2014 deutlich.

Die Warnungen bei URLs mit http scheinen reichlich übertrieben zu sein, da auch SSL, also "https" für keine sichere Verbindung garantieren kann. Eigentlich sollte Verschlüsselungssoftware gegen Ausspähen schützen, doch in der am häufigsten verwendeten Software OpenSSL verbirgt sich eine Sicherheitslücke. Eine Schwachstelle erlaubt es Angreifern, auf sensible Daten aus verschlüsselten Verbindungen zuzugreifen.

Die Software OpenSSL ist einer von vielen Baukästen für das Sicherheitsprotokoll SSL, das den Datenverkehr durch das Netz schützen soll. SSL wird von vielen Webseiten, E-Mail-Diensten und Shops und Chats genutzt. Laut einer Analyse von Netcraft, einem Internetdienstleistungs-Unternehmen, nutzen etwa eine halbe Million Webseiten OpenSSL und die Tendenz ist steigend.

Eine Funktion in OpenSSL namens "Heartbeat“, Herzschlag, die im Hintergrund läuft, ist verantwortlich für das Problem. Die Funktion leitet bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um zu überprüfen, ob beide Seiten noch online sind.

Angreifer könnten so leicht einen Server dazu bringen, nicht nur die Protokolle, also Herzschlag-Nachrichten zu übermitteln, sondern auch andere gespeicherte Informationen, wie Passwörter oder E-Mail-Inhalte. Sogar die privaten Schlüssel, die zur Herstellung für sichere Verbindungen notwendig sind, können so ausgespäht werden. Die Entdecker bezeichnen diesen Fehler "Heartbleed“, weil er Informationen "ausbluten“ lässt.

Diese Sicherheitslücke ist sehr gefährlich, da sie ganze Verschlüsselungen aushebeln kann, um damit an Informationen zu kommen. Marian Gawron vom HPI (Hasso-Plattner-Institut) warnt entschieden vor dieser Sicherheitslücke, da auch Banken betroffen sein könnten. Gawron weiter: "Ein Angriff ist sehr schwer nachzuvollziehen, weil er äußerst unauffällig ist."

Durch den Austausch von Zertifikaten, die Schlüssel neu beantragen und Passwörter ändern, könnte vorläufig für Abhilfe sorgen. Danach heißt es erst einmal abwarten, bis die Betreiber von SSL-Webangeboten die Lücke geschlossen haben.

Zurück