Sie besuchen die Seite über eine ungesicherte Verbindung. Gesicherte Verbindung mit https (empfohlen)
Bei Beschränkungen des Internet-Zugangs (Gäste-WLAN oder ähnliches, ohne https) wechseln Sie bitte nicht

Sicherheit im Datenverkehr?

Ach wie so trügerisch ...

Nicht erst seit Edward Snowden sind sogenannte Man-In-The-Middle Angriffe bekannt. Jegliche Überwachung (hier gemeint: passives „Mithören“) des Datenverkehrs mit Inhaltskontrolle in einem Netzwerk (z.B. Internet) ist genau dieses. Zu unterscheiden ist dies von der aktiven Kontrolle mit Hilfe von Firewalls, welche den aktiven Datenfluss prüfen und ggf. beeinflussen (Malware-Entfernung, usw).

Allgemein propagiert wird beispielsweise die Nutzung von Verschlüsselung sowohl von eMails als auch von Webseiten (https).

Der Haken:

Die Daten müssen auf Empfängerseite wieder entschlüsselt werden.

Zur Verschlüsselung beispielsweise von SSL/TLS wird ein sogenannter Key benutzt, welcher im „besten“ Fall von einer anerkannten Zerifizierungsstelle (CA Authority) erstellt wurde (z.B. RSA, Verisign). Damit ist die Überprüfung des Keys auf Vertrauenswürdigkeit durch den Empfänger sehr einfach möglich. Suggeriert wird, dass der Datenverkehr damit abhörsicher ist.

Leider ist das eben nicht so. Sehr deutlich wurde dies nicht erst durch den NSA-Skandal sichtbar.

Ein anderer deutschsprachiger Kommentar findet sich beispielsweise bei Peer Heinlein.

Weltweit werden beispielsweise von RSA ausgestellte Keys von Firmen zumindest für die Zugriffskontrolle eingesetzt (das kostet richtig Geld). Einige Zeit vor dem NSA-Skandal wurde schon nachgewiesen, dass zumindest einige der U.S.-amerikanischen Intelligence-Behörden eine Hintertür bei RSA haben und somit alle Keys „aushebeln“ können.

Die notwendige Technik ist für das Aushebeln ist eigentlich einfach, man muss nur an der „richtigen Stelle“ zugreifen. Darauf werden wir auf einer anderen Seite näher eingehen.

Service-Provider oder Behörden müssen „nur“ ein gefälschtes Zertifikat erstellen und ein Produkt ähnlich dem in einem Artikel aus dem Jahr 2010 Law enforcement appliance subverts SSL verwenden. Folgt man einigen der Links, dann sieht man sehr schnell, dass diese Art von Zugriff so alt ist wie die erste Man-In-The-Middle-Attack.

Es muss auch nicht immer eine grössere Instanz im technischen Bereich sein. Das Umleiten auf eine falsche Seite beim Online-Banking kann diese Art Angriff für jeden einzelnen ermöglichen.

Ausdrücklich wird nochmals darauf hingewiesen, dass das Einrichten des Mithörens an sich technisch keine besondere Herausforderung darstellt.

Das Problem liegt (genauer: lag, siehe weiter unten) bei der Entschlüsselung, also auch in der Vertrauenswürdigkeit des Keys.

Technisch etwas anspruchsvoller wird es, wenn man nicht nur den Weg vom Anwender zum Zielsystem, sondern auch den Rückweg beeinflussen will.

Bei IP v4 ist die entsprechende Manipulation der Datenpakete relativ einfach, bei IP v6 wurde die (eigentlich vorgesehene) Standardisierung von Sicherheitsmaßnahmen erfolgreich verhindert. Go figure ...

Beispielsweise finden sich in Windows über 100 vertrauenswürdige Zertifikatsstellen. Vertrauenswürdige Anwendungen sollten von den Entwicklern ein „Windows-Zertifikat“ erhalten.

Ohne weiteren Kommentar nur der Hinweis, dass in Deutschland der Einsatz eines „Bundestrojaners“ vom Gesetzgeber erlaubt wurde. Er muss sich demzufolge still und heimlich installieren lassen.

Letztendlich ist die Sicherheit der Verschlüsselung von Webseiten mit offiziellen Zertifikaten fraglich. Ebenso wird keine sensibilisierte Firmenleitung ein Gäste-WLAN einrichten, welches verschlüsselten Verkehr zulässt (nicht nur wegen der Haftungsproblematik).

Die Nutzung selbst erstellter Zertifikate ist mit einem gewissen Aufwand zumindest auf Empfängerseite verbunden. Beispielsweise wird der Empfänger von einer vernünftigen Anwendung gefragt, ob dem Zertifikat vertraut wird oder nicht.

Ebenso ist die Nutzung von eigenen Zertifikaten bei Hosting-Paketen häufig nicht möglich. Die Verwendung „offizieller“ Zertifikate unterliegt vorgenannter Thematik.

Zwischenbemerkung:

Es geht hier rein um Fakten, welche von Jedermann jederzeit in öffentlichen Quellen prüfbar sind. Es geht nicht darum, den Ruf einer Firma zu schädigen.

Ende Zwischenbemerkung

Sollte sich eine der genannten Firmen geschädigt fühlen, dann wäre ein Überdenken des Modells vielleicht eher angebracht als an Geschäftsschädigung zu denken.

Als Beispiel hierfür in Deutschland nennen wir einen sehr großen Anbieter: 1und1. Nachdem spätestens seit Frühjahr 2017 (wahrscheinlich schon im Laufe von 2016) die Integration von Strato betrieben wird / wurde, ist der Marktanteil der übergeordneten Firma (United Internet) in Deutschland mehr als gewaltig.

International gibt es 1and1 oder GoDaddy oder ..., die Liste ist lang.

Und jetzt kommt es ganz dick. Ich habe mir das extra aufgespart:

Mittlerweile (Stand Frühjahr 2017) ist es soweit, dass ganz offiziell mindestens 89% des verschlüsselten Datenverkehrs eines Systems rein über einen Mustervergleich „entschlüsselt“ werden können (vorher waren es offiziell „nur“ ca. 60%).

Die Algorithmen der Verschlüsselung sind bekannt, der verwendete Algrorithmus auch (sonst wäre keine Entschlüsselung möglich).

Eine entsprechende Menge passender Muster im Zugriff und das bloße Abhören des Datenverkehrs genügt irgendwann, um den Datenverkehr beinahe (?) vollständig entziffern zu können.

Ein triviales Beispiel ist eine Web-Seite, welche im Browser im Klartext lesbar ist, jedoch verschlüsselt übertragen wird. Da der Schlüssel (key) längere Zeit gültig ist, ist der Rest nur eine Frage von Datenmenge und / oder Zeit.

Abhilfe können nur bewusstes Verhalten, Beschaffung von hierfür notwendigen Informationen und entsprechendes Handeln schaffen.

Gerne unterstützen wir Sie auch bei der Umsetzung dieser Thematik. Insbesondere bei Firmen sind sehr viele Aspekte zu berücksichtigen.