Ausgespäht

So einfach ist das Aushebeln von SSL-Verschlüsselung im Web

6. November 2012, 9:45 Uhr | Elke von Rekowski
Beim Besuch vermeintlich sicherer Webseiten können Spione häufiger mitlesen, als man denkt (Foto: Gina Sanders - Fotolia.com).

Trotz vorhandener Verschlüsselung (https) gelingt es Angreifern regelmäßig, die Kennwörter für Webanwendungen wie Online-Banking, Webmail-Konten oder Businessportale auszuspionieren.

Zwar gibt es in Form einer HTTP-Header-Direktive einen Schutzmechanismus, doch den wenden weniger als 0,5 Prozent der Webseiten an, so das alarmierende Ergebnis des Sicherheitsunternehmens SecureNet.

Dabei ist die Schwachstelle, über die Angreifer die SSL-Verschlüsselung im Browser ausschalten können, bereits seit 2009 bekannt. Ebenfalls seit 2009 gibt den Schutzmechanismus unter der Bezeichnung HTTP Strict Transport Security (HSTS), mit dem Serverbetreiber die Gefahr der erfolgreichen Durchführung eines solchen Angriffs auf ein Minimum reduzieren können. Trotzdem nutzen international weniger als 0,5 Prozent und in Deutschland weniger als 0,1 Prozent der Websites den Mechanismus, um ihre Benutzer damit schützen. Bei den deutschen Banken sind es sieben von 424 Seiten, die den Header einsetzen.

Für die Wirksamkeit des Schutzes ist die eingestellte Gültigkeitsdauer des Headers von großer Bedeutung: Ist diese kurz, so ist die Wahrscheinlichkeit entsprechend hoch, dass der Schutz bereits abgelaufen ist, wenn der Benutzer in die ungeschützte Umgebung gerät, wie zum Beispiel beim Zugriff über einen WLAN-Hotspot im Hotel. Erschreckend: Von den zwölf deutschen Domains, die eine gültige HSTS-Direktive im Header ausliefern, erfüllten nur fünf Sites die Minimalanforderung von 30 Tagen Gültigkeit. Bei sechs von nur sieben Banken-Sites in Deutschland, die den Header einsetzen, ist die Gültigkeitsdauer zu kurz und somit der Schutz wirkungslos.

»Solange HSTS nicht standardmäßig zum Einsatz kommt, sollten Unternehmen, die verhindern wollen, dass ihre Mitarbeiter zum Sicherheitsrisiko werden, die Laptops und Homeoffic-PCs der Mitarbeiter per VPN ins Unternehmen-LAN zwingen«, empfiehlt Thomas Schreiber, Geschäftsführer der SecureNet GmbH . Denn dann gehe jeder Verbindungsaufbau des Browsers, unabhängig davon, ob http oder https, unangreifbar durch den geschützten Kanal ins Firmennetz und von dort aus zum jeweiligen Webserver. Zudem rät der Experte Microsofts IE9 und auch den brandneuen IE10 für den Zugang zu kritischen Webanwendungen nicht zu verwenden, da beide Browser-Versionen HSTS nicht unterstützen.


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+