Internet-Anwender sind Verschlüsselungsmuffel
Trotz aller Bedrohungen gehen nach wie vor viel zu viele Daten im Klartext übers Netz – und wenn, dann meist mit veralteten, relativ leicht knackbaren Verfahren verschlüsselt. Das hat das Institut für Internet-Sicherheit an realen Datenströmen gemessen.
- Bert Ungerer
Wer über das Internet kommuniziert, legt Wert darauf, dass kein unbekannter Dritter mitliest – nicht nur beim Online-Banking, sondern auch beim Mailversand. Viele zu diesem Zweck eingesetzte Verfahren für die Verschlüsselung des Datentransports weisen jedoch nach wie vor erschreckende Sicherheitsdefizite auf, obwohl es längst sichere Alternativen gibt. Dies zeigen Messungen des Gelsenkirchener Instituts für Internet-Sicherheit.
Wer richtig verschlüsseln und den "Man in the middle" wirksam ausschließen will, sollte die einzelnen unter den Begriffen SSL und TLS zusammengefassten Verfahren genau miteinander vergleichen und sowohl Client- als auch Server-Software immer auf dem aktuellen Stand halten, berichtet die iX in ihrer aktuellen Ausgabe 1/09. Denn Client und Server können sich nur auf ein Verfahren einigen, das beide beherrschen.
Internet-Anwender sind Verschlüsselungsmuffel (3 Bilder)
Verschlüsselung im Web (einzelne Firma)
Eine verschlüsselte Übertragung sensibler Daten gilt mittlerweile als obligatorisch. Doch verschlüsselte Verbindungen sind keineswegs immer sicher. Immer noch zu wenigen Anwendern scheint bewusst zu sein, wie sehr sich die verwendeten Verschlüsselungsverfahren hinsichtlich ihrer kryptografischen Leistungsfähigkeit voneinander unterscheiden.
Zwar sind alle Kryptosysteme mit genügend Rechenkraft knackbar, aber der Aufwand für Angreifer hängt stark von zwei beeinflussbaren Variablen ab. Zunächst von der Schlüssellänge, die den theoretischen Aufwand für das Ausprobieren aller möglichen Kombinationen festlegt. Hinzu kommen jedoch Schwachstellen, die ein Krypto-Algorithmus aufweisen kann. Sie verringern den theoretischen Aufwand bisweilen stark und bilden eine reale Bedrohung.
Das Institut für Internet-Sicherheit hat an realen Datenströmen gemessen, dass je nach Umgebung nur 5 bis 15 Prozent der Daten überhaupt verschlüsselt werden, und davon bis weit über die Hälfte mit veralteten Verfahren. Nach Erkenntnissen der Gelsenkirchener Forscher kommt es sogar gelegentlich vor, dass eine scheinbar geschützte SSL-Verbindung – am "https" in der Browser-Adresszeile erkennbar – vollkommen unverschlüsselt ist, also im Klartext mitlesbar.
Wer auf der sicheren Seite sein will, sollte Client-Programme und Serverdienste ausschließlich für sichere Verfahren einrichten und unsichere Verfahren wie RC4/MD5 deaktivieren. Außerdem sollten alle Softwarekomponenten auf zeitgemäße Versionen aktualisiert werden. Hier sind angesichts der Trägheit der Anwender vor allem die Softwarehersteller in der Pflicht. Sie müssen Upgrades mit sicheren Verschlüsselungen auch für ältere, noch im Einsatz befindliche Komponenten bereitstellen. (un)
