Status Quo bei der SSL-Verschlüsselung

Sicherheit und Privatheit im Internet ist eine Ökonomie des Schutzes: Hohe Sicherheit und in Folge zuverlässige Privatheit bedeuten, dass Attacken deutlich teurer kommen, als die Beute wert ist, so der Sicherheitsexperten Dr. Hubert Jäger von Uniscon. Auch im Internet gilt der Grundsatz, dass eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied.

An erster Stelle möglicher Lecks stehen die Betreiber von Cloud- und E-Mail-Diensten sowie Webservern. Das heißt, das Angriffsrisiko ist hier besonders hoch. Die Sicherheit von Endgeräten wie PCs, Tablet oder Smartphones ist das zweitgrößte Sicherheitsloch. Die verschlüsselte Übertragung über SSL ist dann nur noch das drittwichtigste Leck. Datenskandale sind überwiegend auf Untreue und Lecks bei den Anbietern zurückzuführen, nicht auf geknackte Verschlüsselungen.

Knackmethode 1: Bei SSL ist die einfachste Methode des Abhörens, sich als Mann in der Mitte zwischen Sender und Empfänger zu stellen. Man muss dazu eine zweite verschlüsselte Verbindung aufbauen, von der der Nutzer nichts mitbekommt. Geheimdienste beherrschen diese Methode wahrscheinlich, da sie bei manchen Zertifikatserstellern Root-Zertifikate erhalten haben, oder vielleicht auch in den Browsern eigene Root-Zertifikate deponiert haben.

Knackmethode 2: Eine weitere Methode des Abhörens ist, den verschlüsselten Datenstrom zu kopieren und dann alle möglichen Schlüssel automatisiert durchzuprobieren. Das dauert bei guter Verschlüsselung sehr lange.

Knackmethode 3: Die SSL-Verschlüsselung lässt sich durch Back Doors aushebeln, also unentdeckte Einfallstore oder Schwächen der SSL-Implementierung.

Dass Privat- und Geschäftskommunikation abgehört wird, dürfte mittlerweile niemand mehr bezweifeln. Gewöhnliche Cybergangster dürften sich an der SSL-Verschlüsselung jedoch bis auf Weiteres die Zähne ausbeißen.