© Fotolia

29C3

„SSL-Verschlüsselung ist ein großes Risiko“

Eigentlich gilt das Kürzel “https” (HyperText Transfer Protocol Secure) am Anfang einer Web-Adresse als Garant für die sichere Datenübertragung. So werden aber nicht nur zwischen Browser und Webseite Daten sicher übermittelt - die SSL-Verschlüsselung kommt auch bei automatischen Software-Updates oder bei Machine-2-Machine-Kommunikation (z.B. in Krankenhäusern) zum Einsatz. Auch hier soll verhindert werden, das ein Angreifer mit einer so genannten Man-In-The-Middle-Attacke den Datenaustausch abhören kann. Insgesamt ist SSL (Secure Sockets Layer) eine der wichtigsten Technologien, was Privatsphäre und Datenschutz im Internet angeht.

Doch genau vor der Verschlüsselungstechnologie warnte der niederländische Sicherheitsforscher Axel Arnbak von der Universität Amsterdam im Rahmen des Hacker-Kongresses 29C3. „SSL-Verschlüsselung ist ein großes Risiko“, so Arnbak. “Das System ist grundlegend defekt, und irgend jemand muss es reparieren."

Zertifizierungsstelle als Sicherheitslücke
Eines der Hauptprobleme des Verschlüsselungsstandard seien die Zertifikatsstellen (Certificate Authorities, kurz CA). Diese vergeben Zertifikate, die dafür sorgen, dass Daten verschlüsselt übertragen werden können. Banal ausgedrückt: Die miteinander kommunizierenden Stellen A (z.B. der Browser) und B (z.B. eine Webseite) verständigen sich per Zertifikat auf eine Art der Verschlüsselung. Laut Arnbak sei das Geschäft mit den Zertifikaten aber komplett intransparent und deswegen ein großes Problem. Die weltweit rund 650 Zertifizierungsstellen würden 54 verschiedenen Gesetzgebungen unterliegen, und etwa 50 CAs würden autoritären Staaten wie China oder dem Jemen gehören, die nicht unbedingt für die Wahrung der Privatsphäre von Bürgern bekannt sind.

Welche Gefahr Zertifizierungsstellen darstellen können, zeigt der Fall der niederländischen DigiNotar 2011. Der Server von DigiNotar, auf dem die Zertifikate gespeichert waren, wurde gehackt (Insidern zufolge kam der Angriff aus dem Iran). In Folge sei es den Hackern möglich gewesen, die Datenübertragung zu Webseiten wie Google.com, Skype.com, Cia.gov, Facebook.com abzufangen, so Arnbak. Die holländische Regierung, die DigiNotar anschließend verstaatlichte, riet der Bevölkerung damals hilflos, einfach das Internet nicht zu nutzen. Bis heute seien DigiNotar-Zertifikate erlaubt, etwa für Steuerdaten, so Arnbak.

EU will regulierend einschreiten
Die EU will dieser zerfahrenen Situation jetzt beikommen und mit der „eSignatures Regulation“ (PDF) eine Richtlinie beschließen, die die SSL-Verschlüsselung erstmals regulieren soll. Ihr zufolge wären Zertifizierungsstellen voll haftbar, wenn sie nachlässig bei der Ausstellung von Zertifikaten oder dem Schutz ihrer Systeme sind. Doch Arnbak sieht auch hier einige Probleme: Nur große Zertifizierungsstellen könnten sich das leisten und sich gegen Schäden bei IT-Riesen wie Google absichern. Zudem seien EU-Regeln nicht weltweit gültig - im WWW also kaum brauchbar.

Die Schuld bei den Problemen mit der SSL-Verschlüsselung sei aber nicht nur bei den Zertifizierungsstellen und Regulierungsbehörden zu suchen, sondern auch bei den Betreibern von Webseiten und den Nutzern selbst. Laut der Webseite SSL Pulse sind aktuell nur 15,6 Prozent der 180.000 weltweit meistbesuchten Webseiten auf dem aktuellsten Stand in punkto SSL-Verschlüsselung. Außerdem würden die User selbst der Sicherheit der Datenübertragung nur wenig Aufmerksamkeit schenken. “Warnungen des Browsers vor schlechten Zertifikaten werden einfach weggeklickt”, so Arnbak.

Mehr vom Hacker-Kongress 29C3

  • EveryCook: Koch-Roboter holt Rezepte aus Web
  • Chaos Computer Club setzt 2013 auf Drohnen
  • Hacker fürchten vernetzte Neuauflage der DDR
  • Vernetzte Autos gefährden die Privatsphäre
  • 29C3: “Der Überwachungsstaat berührt alles”
  • 29C3: Hacker-Kongress startet in Hamburg

Hat dir der Artikel gefallen? Jetzt teilen!

Jakob Steinschaden

mehr lesen
Jakob Steinschaden

Kommentare