Netzverschlüsselung SSL Das Ende der Vertraulichkeit
Nahezu überall, wo Zugangsdaten oder andere sensible Informationen sicher durch das Netz transportiert werden sollen, kommt SSL zum Einsatz.
Berlin Die SSL-Verschlüsselung ist im Netz omnipräsent. Obwohl viele Anwender noch nie von SSL gehört haben nutzt praktisch jeder diese Technologie auf die ein- oder andere Weise. Ob man eine Onlineüberweisung durchführt, seine E-Mails abruft oder sich bei Facebook einloggt: Nahezu überall, wo Zugangsdaten oder andere sensible Informationen sicher durch das Netz transportiert werden sollen, kommt SSL zum Einsatz. Webseiten, die die SSL-Verschlüsselung einsetzen, erkennt man am vorangestellten „https“.
Doch der jüngst entdeckte Heartbleed-Bug hat die Netzwelt in Aufregung versetzt. Ein kleiner Fehler in der Software OpenSSL sorgte dafür, dass Speicherbereiche von Servern ausgelesen werden konnten. Im schlimmsten Fall gaben Server dabei ihr größtes Geheimnis preis: den privaten Schlüssel.
OpenSSL ist die mit Abstand beliebteste Software zum Einsatz der SSL-Verschlüsselung. Ein Grund dafür ist, dass jeder OpenSSL kostenlos nutzen darf. Das führte dazu, dass OpenSSL heute auf fast allen Webservern zum Einsatz kommt. Ob Facebook, Google, Amazon oder Yahoo: Alle Größen der Internetbranche setzen OpenSSL ein, aber auch unzählige kleinere Webseiten nutzen diese Software.
Wer ist davon betroffen?
Die Lücke klafft in einer Software namens OpenSSL, einem Baukasten für das Sicherheitsprotokoll SSL. Das wiederum soll Daten auf dem Weg durchs Netz schützen und kommt bei einer Vielzahl von Webseiten, E-Mail-Diensten und Chatprogrammen zum Einsatz. Die OpenSSL-Variante ist kostenlos und daher weit verbreitet: Nach einer Analyse von Netcraft nutzen eine halbe Million Webseiten OpenSSL.
Wo liegt die Schwachstelle?
Die Schwachstelle findet sich in einer Funktion, die eigentlich im Hintergrund laufen sollte. Sie schickt bei einer verschlüsselten Verbindung regelmäßig Daten hin und her, um sicherzugehen, dass beide Seiten noch online sind. Entsprechend heißt die Funktion „Heartbeat“, Herzschlag.
Wie kann die Schwachstelle ausgenutzt werden?
Angreifer könnten einen Server dazu bringen, nicht nur die Herzschlag-Nachricht zu übermitteln, sondern auch weitere gespeicherte Informationen. Passwörter oder Inhalte von E-Mails etwa. Damit nicht genug: Auch die privaten Schlüssel, die zur Herstellung einer sicheren Verbindung notwendig sind, können so gestohlen werden. Die Entdecker tauften den Fehler „Heartbleed“, weil er Informationen „ausblutet“.
Wie gefährlich ist die Sicherheitslücke?
„Das Problem ist, dass ein Angreifer beliebige Information auslesen kann“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts (HPI) in Potsdam. „Man kann Informationen beschaffen, die die ganze Verschlüsselung aushebeln. Deswegen ist es eine ziemlich kritische Schwachstelle.“
Was können Angreifer damit anfangen?
Wer den privaten Schlüssel einer anderen Person oder Webseite besitzt, kann eigentlich sichere Kommunikation mitlesen. Kriminelle könnten sich auch für eine andere Webseite ausgeben, etwa für die einer Bank, warnt Marian Gawron, der am HPI forscht. Wenn die echten, zuvor gestohlenen Sicherheitsinformationen nutzen, wäre das für den Nutzer kaum zu erkennen. Bisher sind keine Attacken bekanntgeworden, sagt Gawron. Aber: „Der Angriff ist sehr schwer nachzuvollziehen, weil er sehr unauffällig ist.“
Wie kann der Fehler behoben werden?
Zunächst einmal sind die Betreiber von Webservern gefragt. Wenn sie die betroffene OpenSSL-Version benutzten, müssen sie zügig auf die jüngste Version umsteigen. Damit wird die Lücke erst einmal geschlossen. Das Problem ist: Der Fehler versteckte sich bereits zwei Jahre in der OpenSSL-Software, bis er auffiel. Angreifer könnten also bereits Passwörter und Verschlüsselungsinformationen abgefischt haben.
Was müssen Webseiten-Betreiber noch tun?
Es kann nicht zweifelsfrei ausgeschlossen werden, dass die Werkzeuge zur Verschlüsselung der eigenen Internetdaten gestohlen wurden. Daher empfehlen Fachleute den Austausch der wichtigen Zertifikate. „Wer auf der sicheren Seite sein möchte, sollte die Schlüssel neu beantragen“, sagt HPI-Doktorand Gawrow. Das rät auch das Bundesamt für Sicherheit in der Informationstechnik.
Das Problem: Die Codequalität von OpenSSL ist alles andere als überzeugend. Das Programm ging bereits 1995 an den Start, große Teile des Codes sind uralt und kaum verständlich. Dazu kommt, dass OpenSSL überwiegend von wenigen Freiwilligen entwickelt wird. Erst der Heartbleed-Bug hat dafür gesorgt, dass einige große IT-Unternehmen sich an der Finanzierung von OpenSSL beteiligen.
Es fehlt an Alternativen
Eine wirklich Alternative zu OpenSSL gibt es kaum. Zwar existieren andere Projekte wie das ursprünglich von der Firma Netscape entwickelte NSS –es wird beispielsweise von Mozilla Firefox genutzt - doch unter Fachleuten gilt dessen Codequalität als ähnlich problematisch wie OpenSSL.
Doch mangelhafte Software ist nicht das einzige Problem, unter dem die SSL-Verschlüsselung zu leiden hat. Eine Webseite, die SSL einsetzt, benötigt für den Betrieb ein elektronisches Zertifikat. Diese Zertifikate werden von einer Reihe von Zertifizierungsstellen ausgestellt, den sogenannten Certificate Authorities oder kurz CAs. Zertifikate sind dafür da, einem Nutzer zu versichern, dass er sich gerade tatsächlich mit der richtigen verschlüsselten Webseite verbindet. Ruft ein Nutzer beispielsweise Facebook auf, dann bezeugt das Zertifikat, dass die Webseite wirklich Facebook gehört.
Die Zertifizierungsstellen, die für das Ausstellen der Zertifikate zuständig sind, gerieten in den letzten Jahren allerdings in Verruf. Im Jahr 2011 gab es mehrere Fälle, bei denen Zertifizierungsstellen nachweislich falsche Zertifikate ausgestellt haben. Die niederländische Firma Diginotar hatte über 500 falsche Zertifikate ausgestellt, unter anderem für die Webseite von Google. Vermutet wird, dass dahinter ein Hackerangriff der iranischen Regierung steckte. Diginotar meldete nach den Vorkommnissen Insolvenz an.
Das Kommentieren dieses Artikels wurde deaktiviert.