Studie: Informationen trotz SSL-Verschlüsselung nicht sicher
Mit einer seit Jahren bekannten Angriffstechnik kann man die SSL-Verschlüsselung im Browser austricksen. Wie eine Untersuchung zeigt, setzt kaum jemand den ebenfalls bekannten Schutzmechanismus ein. Auch unterstützen diesen nicht alle aktuellen Browser.
- Susanne Franke
Bei 99 Prozent sind vertrauliche Informationen in Webanwendungen wie Online-Banking, Webmail-Konten oder Businessportalen trotz Verschlüsselung nicht sicher. Zu diesem erschütternden Ergebnis kommt der Münchner Spezialist für Anwendungssicherheit SecureNet nach einer Analyse (PDF-Datei) von rund einer Million Websites.
Im Fokus der Untersuchung stand eine seit 2009 bekannte Angriffstechnik (Video), mit der Cyberkriminelle die SSL-Verschlüsselung im Browser ausschalten können. Der Trick beruht zum einen darauf, dass die ursprüngliche Verbindung unverschlüsselt abläuft. Der "Man in the Middle" (MiM) ist somit in der Lage, jeden https-Link, den der Server zurückliefert, in einen http-Link umzuwandeln und die Verbindung zwischen ihm und dem Benutzer über die gesamte Dauer unverschlüsselt zu halten. Zum anderen beruht er darauf, dass der MiM den anderen Teil der Verbindung, also die zum Server, per https durchführt und der Server somit keine Chance hat, den Angriff zu erkennen und abzuwehren.
Ebenfalls seit 2009 gibt es einen Schutzmechanismus, der diesen Angriff unterbinden soll: HTTP Strict Transport Security (HSTS). Damit kann der Server den Browser "zwingen", nie einen http-Link, sondern ausschließlich https-Links zu schicken. Nun stellte SecureNet bei der Untersuchung der Verbreitung dieser Header-Direktive fest, dass international weniger als 0,5 Prozent und in Deutschland weniger als 0,1 Prozent der Websites ihre Benutzer damit schützen. Bei den deutschen Banken sind es lediglich 6 von 423 Sites, die den Header einsetzen.
Die Untersuchung umfasste die gemäß der "Alexa Top 1.000.000"-Liste rund eine Million internationale Sites, darunter die 40.000 meistbesuchten deutschen, sowie speziell das Online-Banking-Login von ausgewählten deutschen Banken. Rund 10 Prozent der "Alexa Top 1.000.000 Sites" verwenden das HTTPS-Protokoll, aber davon wurde insgesamt nur in 410 Fällen eine HSTS-Direktive im Header ausgeliefert - was einer Verbreitung von HSTS von unter 0,5 Prozent entspricht.
Für die Wirksamkeit des Schutzes ist die eingestellte Gültigkeitsdauer des Headers (max-age) von großer Bedeutung: Ist diese kurz, so ist die Wahrscheinlichkeit entsprechend hoch, dass der Schutz bereits abgelaufen ist, wenn der Benutzer in die ungeschützte Umgebung gerät, zum Beispiel beim Zugriff über einen WLAN-Hotspot im Hotel. Der Sicherheitsspezialist SecureNet bewertete einen Wert kleiner als 30 Tage als ungenügend.
Auch hier zeigen sich erschreckende Unzulänglichkeiten: Von den 12 deutschen Domains, die eine gültige HSTS-Direktive im Header ausliefern, erfüllten nur fünf Sites diese Minimalanforderung. Bei sechs von sieben Banken-Sites in Deutschland, die den Header einsetzen, ist die Gültigkeitsdauer zu kurz und somit der Schutz wirkungslos. Erstaunlich ist etwa, dass Paypal nur einen Wert von 2 Stunden vorsieht und damit so gut wie ungeschützt ist.
"Solange HSTS nicht standardmäßig zum Einsatz kommt, sollten Unternehmen, die verhindern wollen, dass ihre Mitarbeiter zum Sicherheitsrisiko werden, deren Laptops und Homeoffice-PCs per VPN ins Unternehmens-LAN zwingen", empfiehlt Thomas Schreiber, Geschäftsführer der SecureNet GmbH. Des weiteren ist es ratsam, Microsofts IE9 und auch den brandneuen IE10 für den Zugang zu kritischen Webanwendungen nicht zu verwenden, da beide Browser-Versionen HSTS nicht unterstützen, so der Sicherheitsspezialist.
Update: In der ersten Fassung des Artikels wurde Paypal fälschlicherweise als Google-Tochterunternehmen bezeichnet. Der Satz wurde gelöscht. (ur)