6. März 2015 - Verschlüsselung

SSL mit Sicherheitslücke

Eine neu entdeckte, potenziell gefährliche Schwachstelle erlaubt es Angreifern, die Verschlüsselung der verbreiteten SSL/TLS-Protokolle zu kompromittieren, um online übertragene Daten zu manipulieren oder mitzulesen.

Spüren Sie Lücken in der Verschlüsselungsinfrastruktur auf! SSL-Verschlüsselungen können durch eine Sicherheitslücke geschwächt werden (Bild: nicomenijes / iStock / Thinkstock)

Entdeckt wurde die Schwachstelle mit dem Namen FREAK (Factoring attack on RSA-EXPORT Keys) durch eine Gruppe von Sicherheitsforschern. Die Sicherheitslücke erlaubt es, die ursprünglich starke Verschlüsselung eines mit SSL/TLS geschützten Datenverkehrs auszuschalten und Internet-fähige Endgeräte dazu zu verleiten, eine schwache Verschlüsselung zu benutzen.

Bislang gibt es keinen Hinweis darauf, dass die Sicherheitslücke bereits für Angriffe ausgenutzt wurde. Doch es gibt zahlreiche Websites und Produkte, die einem erhöhten Risiko ausgesetzt sind – darunter Apple-Safari- und Google-Android-Browser. Somit sind primär Mobilgeräte und Mac-Computer gefährdet.

Hunderttausende Server von der SSL-Sicherheitslücke betroffen

Laut der eigens zur Information über diese Schwachstelle eingerichteten Website Tracking the FREAK Attack (https://freakattack.com/) sind Hunderttausende Server weltweit betroffen. In einer Liste der angreifbaren Websites finden sich so illustre Namen wie americanexpress.com, porsche.com und deichmann.com.

Ob der eigene Webbrowser für Angriffe anfällig ist, lässt sich über den TLS Freak Attack: Client Check (https://freakattack.com/clienttest.html) kontrollieren. Server-Betreiber finden eine Überprüfungsmöglichkeit im SSL-Server-Test der Qualys SSL Labs.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln