6. November 2012 - Secure Socket Layer

SSL-Verschlüsselung: Mehr Sicherheit wäre möglich

SSL-Verbindungen werden im Web meist dann eingesetzt, wenn sensible Daten über eine Verschlüsselung bei der Übertragung zwischen Server und Rechner des Anwenders geschützt werden sollen. Aber wie bei fast allen Sicherheitsfunktionen gibt es Angriffsformen, die diesen Schutz aushebeln. Entsprechende Gegenmaßnahmen werden allerdings nach einer aktuellen Studie vernachlässigt.

ssl-verschlusselung-mehr-sicherheit-ware-moglich.jpeg
Bei den meisten SSL-Verbindungen lässt sich die Verschlüsselung theoretisch aushebeln (Quelle: Thomas Siepmann/pixelio.de).

Das Ausschalten der SSL-Verschlüsselung im Browser durch einen Man-in-the-Middle-Angriff ist eine schwerwiegende Sicherheitslücke, die in ungeschützten Umgebungen wie etwa in öffentlichen WLANs leicht ausgenutzt werden kann. Als Folge eines erfolgreichen Angriff können Unbefugte an sensible Informationen gelangen.

In Form eines HTTP-Headers existiert ein Schutzmechanismus, mit dem der Server-Betreiber die Gefahr der erfolgreichen Durchführung eines solchen Angriffs auf ein Minimum reduzieren kann. Notwendig hierfür ist es allerdings, dass er diesen HSTS-Header (HTTP Strict Transport Security) samt der passenden Parameter auf seinen SSL-Seiten einbindet. Und genau dies passiert nach einer Studie von SecureNet nur äußerst selten.

Für die Untersuchung „Aktuelle Verbreitung von HTTP Strict Transport Security (HSTS)“ wurden die weltweit 1 Million meistbesuchten Websites überprüft, darunter rund 40.000 deutsche Websites mit 424 deutschen Seiten für Online-Banking.

Obwohl diese Schwachstelle seit 2009 bekannt ist und der Header mittlerweile von fast allen Browsern unterstützt wird, schützen international weniger als 0,5 Prozent und in Deutschland weniger als 0,2 Prozent der Websites ihre Benutzer in besagter Weise. Bei den deutschen Banken sind es ganze 7 von 424 Sites, die den Header einsetzen. Die wenigen Seiten, die HSTS zur Anwendung bringen, haben diese Schutzfunktion oftmals so konfiguriert, dass sie ihren Zweck kaum erfüllen kann.

(06.11.2012/fgo)

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln