Daten in Gefahr – SSL Verschlüsselung doch nicht sicher

08.12.2012344 Mal gelesen
SecureNet, eine Firma die sich auf die Anwendungssicherheit im Netz spezialisiert hat, kommt nach einer Analyse von Rund einer Millionen Webseiten zu dem Ergebnis, dass die Verschlüsselungstechnik Secure Sockets Layer (SSL) nicht wirklich sicher ist.

Besonders fatal ist dieses Ergebnis für Bereiche wie Online-Banking oder Business-Portalen. Denn die Studie kommt zu dem Ergebnis, dass bei 99% der untersuchten Seiten vertrauliche Informationen trotz der Verschlüsselung nicht sicher sind.

 

Und das ganze funktioniert so. Die ursprüngliche Verbindung läuft unverschlüsselt ab. Ein „Man in the Middle (MiM) schaltet sich an geeigneter Stelle dazwischen und kann damit jeden https-Link, der vom Server zurück kommt, wieder in einen http-Link umwandeln und damit die Verbindung zwischen ihm und dem Nutzer unverschlüsselt halten.

 

Einen Mechanismus, der vor diesem Problem schütz gibt es zwar, jedoch benutzen ihn die wenigsten. Dieser Mechanismus mit dem Namen http Strict Transport Security (HSTS) ermöglicht es dem Server den Browser zu zwingen, ausschließlich https-Links zu schicken. Die Analyse hat ergeben, dass in Deutschland weniger als 0,1% ihre Websites mit dieser Technik schützen.

 

Solange HSTS nicht standartgemäß zum Einsatz kommt, sollten Unternehmen die jegliches Risko verhindern wollen, Laptops und Homeoffice-PCs ihrer Mitarbeiter per VPN ins Unternehmens-LAN zwingen. Und von der Nutzung der Internetbrowser Internet Explorer 9 und 10 ist ebenfalls abzuraten, da diese Versionen HSTS nicht unterstützen.

 

Sicherlich sind auch die folgenden Beiträge für Sie interessant:

 

OLG Frankfurt am Main: Neue Entscheidung zur WLAN-Haftung des Betreibers eines Internetanschlusses

BGH: Betreiber eines unzureichend gesicherten WLAN-Internetzugangs haftet für Urheberrechtsverletzungen Dritter auf Unterlassung und Aufwendungsersatz

Konsequenzen des BGH W-LAN Urteils für Privatpersonen und Unternehmen

LG Magdeburg: Inhaber eines ungesicherten WLAN haftet für Filesharing über seinen Internet-Anschluss