Handelsblatt

MenüZurück
Wird geladen.

17.10.2011

14:41 Uhr

IT-Sicherheit

„Die Browser sind das große Sicherheitsproblem“

Taher Elgamal ist Erfinder des SSL-Protokolls, mit der unter anderem Online-Überweisungen verschlüsselt werden. Im Interview spricht er über Sicherheitslücken des Systems - und wie man sich davor schützen kann.

SSL-Erfinder Taher Elgamal: Eine Schwachstelle in einem Browser öffnet die Tür zu einem Angriff auf alles. PR

SSL-Erfinder Taher Elgamal: Eine Schwachstelle in einem Browser öffnet die Tür zu einem Angriff auf alles.

Sie haben SSL erfunden, die Technologie, mit der heute jede private Online-Banking-Transaktion auf der Welt gesichert wird. In den vergangenen Monaten gab es einige schwerwiegende Angriffe. Können Sie noch ruhig schlafen?

Taher Elgamal: Es gibt seit 15 Jahren Attacken, nicht erst seit Monaten. Also ja, ich kann noch ruhig schlafen. Aber SSL ist sowieso nur ein kleiner Teil des Sicherheitssystems. Es kann keine vollständige Lösung für alles sein. Und ganz ehrlich: Das Fehlen einer starken Authentifizierung ist eigentlich ein schwerwiegenderes Problem als die Verschlüsselungsfrage von SSL.

Wenn Sie das Internet heute noch einmal vollkommen neu aufbauen könnten. Was würden Sie mit Blick auf die Sicherheitsinfrastruktur verändern?

Ich würde die Browser verändern und nicht die Sicherheitsinfrastruktur. Die Browser sind das eigentliche Problem. Wenn Sie sich die Mobiltelefonwelt anschauen, geht es heute fast nur noch um Apps – der Browser fehlt in weiten Teilen. Niemand erledigt sein mobiles Banking über den Browser. Mobile Sicherheit ist letztlich Sicherheit von App zu App, und das ist tatsächlich besser als Festnetzsicherheit. Das widerspricht auch dem, was die meisten Menschen glauben.

Aber Sicherheitsmängel treten auch in Online-Banking-Apps auf.

Natürlich, in allem was wir tun, wird es immer Sicherheitsmängel geben. Aber eine Schwachstelle in einem Browser öffnet die Tür zu einem Angriff auf alles. Eine Mangel in einer App betrifft letztlich eben nur die App selbst.

Fragen rund um den Verschlüsselungsstandard SSL

Was ist SSL/TLS?

Wer Daten an eine Website sendet, hat unter normalen Umständen keine Garantie dafür, wo diese landen. Zudem werden die Daten ganz ohne jede Verschlüsselung zu der Website gesendet. Eine normale Internet-Kommunikation ohne SSL ähnelt daher einer Postkarte: Jeder, an der an ihrem Transport beteiligt ist, kann den Inhalt der Internet-Kommunikation lesen. Erst ein Protokoll namens Secure Sockets Layer (SSL) – inzwischen zum weniger namentlich bekannten Standard Transport Layer Security (TLS) weiterentwickelt – löst diese beiden Probleme: Die Daten werden über eine verschlüsselte SSL-Verbdindung gesendet, ein signierten Zertifikats stellt die Identität der Gegenstelle sicher.

Wo wird SSL eingesetzt?

Die Technologie wird überall dort eingesetzt, wo sensible Daten bei der Übertragung im Web geschützt werden müssen – also beispielsweise zur Übertragung von Benutzernamen, Passwörtern oder Kreditkartendaten. Auch Onlinebanking wird ausschließlich über SSL-gesicherte Verbindungen angeboten.

Wie erkenne ich eine gesicherte SSL-Verbindung?

Eine verschlüsselte Verbindung erkennen Sie in Ihrem Browser dadurch, dass der Webadresse „https://“ statt „http://“ vorangestellt ist. Meist wird die Adresszeile außerdem mit einem Schloss gekennzeichnet. Handelt es sich um ein gültiges Zertifikat, hinterlegen aktuelle Versionen von Microsofts Internet Explorer die Adresszeile grün. Mozillas Firefox zeigt den Zertifikatinhaber als Name vor einem grün hinterlegten Feld an. Ist das Zertifikat ungültig oder abgelaufen, warnt der Browser.

Wie funktioniert die Signatur von Zertifikaten?

Prinzipiell kann jeder ein solches SSL/TLS-Zertifikat signieren. Doch damit die großen Browser das Zertifikat ohne Warnung akzeptieren, muss es von einer Stelle signiert sein, der Microsoft, Mozilla und die anderen Browserhersteller vertrauen. Diese Signatur-Unternehmen – das größte und bekannteste ist der amerikanische Anbieter Verisign – sind sozusagen die Ausweisstellen des Internets, bei denen die Anbieter von Webseiten ihre Signaturen einkaufen.

Wo ist die Lücke im System?

Die Schwachstelle des Systems sind die Unternehmen, die die Zertifikate ausstellen und denen die Browserhersteller vertrauen. Die Firmen Diginotar und Comodo sind Opfer von Hacker-Einbrüchen geworden. Die erbeuteten Daten nutzten die Hacker, um massenhaft gefälschte SSL/TLS-Zertifikate auszustellen. Mehr als 500 gefälschte Zertifikate haben Experten bislang gefunden. Damit könnten Cyberkriminelle täuschend echte Kopien der Webseiten unter leicht veränderten Web-Adressen erstellen und den Nutzern eine gesicherte Verbindung zu dem Anbieter vorgaukeln. Die gefälschten Zertifikate wurden Medienberichten zufolge unter anderem dazu genutzt, die E-Mails iranischer Dissidenten zu lesen. Theoretisch möglich wären aber auch ausgefeilte Pishing-Attacken beim Online-Banking.

Wie stelle ich die Sicherheit der Zertifikate sicher?

Der Diebstahl von Zertifikaten wird in der Regel sehr schnell bekannt. Die großen Browserhersteller Microsoft (Internet Explorer), Mozilla (Firefox) und Opera haben in der Vergangenheit schnell auf die gestohlenen Zertifikate reagiert und sie für ungültig erklärt. Apple hat sich dagegen mehr Zeit gelassen. Eine Anfrage zu den Gründen von Handelsblatt Online blieb unbeantwortet.

Zertifikate können auch manuell für ungültig erklärt werden. Wichtig ist, dass Sie Ihre Software regelmäßig über das Internet aktualisieren. Nutzen Sie den Internet Explorer von Microsoft, werden aktuelle Web-Zertifikate über die Windows-Updates eingespielt.

Auf welche Sicherheitsproblematik stoßen Sie eigentlich am häufigsten?

Der Zustand von Firewalls oder Systemen zum Erkennen von Eindringlingen oder Malware ist eine heikle Angelegenheit, weil die Angriffe schneller und schneller werden. Wir sehen heute, dass die Angriffe mit den traditionellen Regeln, die zum Einsatz kommen, immer schwerer abzufangen sind.

Was kann man also tun, um die Dinge einfacher zu  gestalten?

Das Problem liegt darin, dass wir immer bei der Infrastruktur anfangen. Wenn Sie heute in irgendein Unternehmen gehen und fragen „Was ist eure Sicherheitsstrategie?“, fängt die Konversation immer mit der Firewall an. Aber eigentlich kommt es ja auf die Anwendungen an, weil die nämlich mit den Daten arbeiten. Die Industrie muss sich insgesamt Gedanken darüber machen, die Anwendungen mit dem gleichen Sicherheitsniveau zu schützen, mit der man die Infrastruktur und das Netzwerk selbst schützt. 

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×