Wurm im Apfel: Immer wieder tut sich eine (Sicherheits-)Lücke auf

security-265130_640Sicherheit im Internet ist und bleibt ein Top-Thema. Viele User sind mittlerweile dafür sensibilisiert und achten vermehrt darauf, ihre Verbindungen zu Verschlüsseln und sicherer zu machen. Ein weit verbreitetes Verfahren, das viele von uns schon seit Jahren nutzen – vielleicht ohne dass es uns überhaupt auffiel – sind die Sicherheitsprotokolle Secure Sockets Layer (SSL) und Transport Layer Security (TLS). SSL und TLS sind fester Bestandteil der meisten heute verwendeten Web-Browser und Web-Server. Besucht man etwa einen Online-Shop oder eine Online-Banking-Seite, schaltet der Browser automatisch auf SSL oder TLS um. So wird eine sichere und auch verschlüsselte Verbindung garantiert. SSL setzt hier auf das sogenannte RSA-Kryptosystem mit privaten und öffentlichen Schlüsseln (public-and-private key encryption system).

So weit, so sicher. Aber kann man sich wirklich darauf verlassen, dass die eigenen Daten nicht in fremde Hände geraten, wenn das kleine Vorhängeschloss als Piktogramm in der Adresszeile des Browsers erscheint?

Leider zeigen die kürzlich gemeldeten Pr obleme bei Apples iOS- und OS-X, dass diese Sicherheit trügerisch sein kann. Aufgrund eines Fehlers im Code der beiden Betriebssysteme, wird die sichere SSL-/TLS-Authentifizierung für Angreifbarer manipulierbar. Die Authentifizierung mittels einer Kombination aus Zertifikat und öffentlichen Schlüseln zwischen Client und Server soll garantieren, dass die sichere Verbindung nur zwischen den zwei berechtigten „Parteien“ aufgebaut wird. Dann könnten E-Mails, Bankdaten oder Shop-Transkationen gefahrlos über diese Verbindung gesendet werden.

Aufgrund solcher Sicherheitslücken lassen sich Systeme mittels einer Malware aushebeln. Eine präparierte Webseite lässt den Nutzer glauben, dass er sich gerade mit einer sicheren Seite verbunden hat. Tatsächlich aber hat sich ein Angreifer zwischen den Nutzer (den Client) und sein Ziel (den Server) geschoben und ist in der Lage die vermeintlich sichere und verschlüsselte Kommunikation im Klartext mitzulesen („Man in the Middle“). Die Gefahren beim Online-Banking müssen wohl nicht extra betont werden: Über die Hälfte der Deutschen waren bereits schon einmal von Internet-Kriminalität betroffen.

Apple hat nach Bekanntwerden des Sicherheitsproblems schnell reagiert. Updates für iOS und OS X liegen mittlerweile vor.

vpnWer allerdings nicht immer erst auf Sicherheitsupdates “von oben” warten will, ist gut beraten, selbst etwas für die eigene Internet-Sicherheit zu tun. Eine Möglichkeit ist die Verwendung eines VPN Services wie Hotspot Shield von Anchorfree, in dem verschiedene Sicherheitstechniken (Tunneling, Verschlüsselung und Datenkapselung) und Protokolle (IPsec, L2TP, PPTP, SSL, TLS, Open VPN) kombiniert werden. Hotspot Shield ist kostenlos und bietet darüber einen eingebauten Schutz vor Malware –  für alle, die unter Windows, Mac OS X, iOS oder Android ihre  Internetsicherheit selbst in die Hand nehmen wollen.

, , , , , ,

No comments yet.

Leave a Reply