Wie die Bahn bei Privatsphäre den Teufel mit dem Beelzebub austreibt
Wer zum Schutz vor Sicherheitsrisiken in Bezug auf Privatsphäre in seinem Browser RC4 verboten hat, sollte sich nicht wundern, wenn er bei der Bahn keine Fahrkarten mehr bestellen kann, denn die Bahn hat zum Jahresende ihren Webauftritt so umgestellt, dass RC4-Unterstützung vorausgesetzt wird.
- Nicolai Josuttis
Wer zum Schutz vor Sicherheitsrisiken in Bezug auf Privatsphäre in seinem Browser RC4 verboten hat, sollte sich nicht wundern, wenn er bei der Bahn keine Fahrkarten mehr bestellen kann, denn die Bahn hat zum Jahresende ihren Webauftritt so umgestellt, dass RC4-Unterstützung vorausgesetzt wird.
Seit etlichen Jahren ist bekannt, dass einige SSL-Verfahren, die bei HTTPS-Verbindungen verwendet werden, ihre Schwächen haben. Aus diesem Grund werden Protokolle und Verschlüsselungsverfahren ständig weiterentwickelt.
Die meisten Browser unterstützen deshalb schon lange nicht mehr SSL 1.0 oder SSL 2.0. Erst bei SSL 3.0 (oder SSLv3) geht die Unterstützung los. Doch auch SSLv3 gilt seit vielen Jahren in vielerlei Hinsicht als unsicher, was durch den Poodle-Angriff erst im Oktober diesen Jahres belegt wurde.
Doch die Sache mit Poodle stellte sich im Dezember 2014 als erheblich schlimmer heraus: Auch die Nachfolgeprotokolle von SSL, TLS 1.0, TLS 1.1 und TLS 1.2 sind betroffen. Aufgrund schlampiger Programmierung kann der Poodle-Angriff auch bei allen TLS-Protokollen auftreten.
Anscheinend war auch die Deutsche Bahn betroffen, denn diese hat nach eigenen Angaben am 18. Dezember als Reaktion auf die Poodle-Angriffe die unterstützen Protokolle umgestellt. Allerdings hat sie damit den Teufel mit dem Beelzebub ausgetrieben, denn seitdem werden nur noch Verfahren unterstützt, die RC4 verwenden. Damit wird allerdings nur noch ein Protokoll unterstützt wird, das als geknackt gilt. Seit 2013 muss davon ausgegangen werden, dass RC4 von der NSA in Echtzeit mitgelesen werden kann.
So gut die rasche Reaktion der Deutschen Bahn ist, so kritisch ist die Art der Reaktion. Besonders problematisch ist dabei, dass Anwender gezwungen werden, in Ihren Browsern Einstellungen abzuschalten, die der Sicherheit und Privatsphäre dienen. Richtig wäre vielmehr eine zeitnahe Installation von entsprechenden Patches oder eine Umstellung auf CGM-Verfahren, die Teil von TLS 1.2 sind, dessen Unterstützung seit über einem Jahr vom BSI empfohlen wird. ()
