SSL-Technik

Massive Sicherheitslücke entdeckt

04.08.2009

Eigentlich gilt die SSL-Verschlüsselungstechnik (E-Banking, E-Government etc.) als unangreifbar. Nun wurde jedoch eine gefährliche Lücke entdeckt, die scheinbar gar nicht oder nur sehr schwer geschlossen werden kann. Kreditkartennummern, Passwörter etc. nichts ist mehr sicher!

Zur Vollversion des Artikels
© sxc
Zur Vollversion des Artikels

Im Rahmen der alljährlichen Hacker-Konferenz im Süden der USA machten Spezialisten auf eine gefährliche Sicherheitslücke im Umgang aktueller Browser (Internet Explorer, Fifefox 3.0, Chrome) mit der SSL-Technik (SSL steht für Secure Sockets Layers) aufmerksam. Bislang galt diese Technik als unantastbar und wird deshalb weltweit für Anwendungen wie E-Banking oder E-Government verwendet. User können an dem "s" hinter "http" in der URL (https://) erkennen das sie auf einer via SSL-Technik verschlüsselten Seite surfen.

Lücke - Passwörter, Kreditkartennummern etc.
Nun machten verschiedene Sicherheitsexperten klar, dass Hacker mit einer "man-in-the-middle"-Attacke (Hacker agiert zwischen dem Anwender und der benutzten Website und fängt den Datenverkehr ab) auch die geheimen Informationen abfangen können. Dadurch gelangen die Angreifer an die eigentlich geheimen und sicher verschlüsselten Kreditkarten-, Kontonummern oder Passwörter der Inernet-User.

Microsoft, Mozilla etc. wollen nun Gegenmaßnahmen setzen
Beim Softwareriesen Microsoft ließ diese Meldung die Alarmglocken leuten und das Unternehmen kündigte eine sofortige Untersuchung an. Mozilla hat dieses Problem nach eigenen Angaben weitestgehend unter Kontrolle. Die neue Version des Browsers (Firefox 3.5) lasse solche Angriffe nur mehr sehr schwer zu und für die Schließung der letzten "Mini"-Lücke ist seit Dienstag ein neues Update verfügbar (hier geht's direkt zum Firefox 3.5.2 Update). Wer noch immer mit Firefox 3.0 surft, ist vor möglichen Hacker-Attacken nicht geschützt)

SSL-Betreiber arbeiten ebenfalls an dem Problem
VeriSign (weltgrößter Anbieter der SSL-Tchnik) verweist auf den Umstand, dass die Sicherheitslücke bei der neuesten Version der Zertifikate (Extended Validation SSL certificates) bereits geschlossen wurde. Bei diesen neuen Zertifikaten ist der finanzielle Aufwand für die Anbieter aber mit erheblichen Mehrkosten verbunden, weil hier jeder Antrag eingehend geprüft wird. Aus diesem Grund ist die EV-SSL-Technik auch nocht nicht weit verbreitet. Banken und andere Anbieter warten bis auch bei dieser Technik die Kosten auf ein annehmbares Niveau sinken.

Updates kommen für viele zu spät
Die Sicherheitsexperten sind von den meisten der angekündigten Maßnahmen vorerst wenig beeindruckt. Laut ihnen wird diese gravierende Lücke in den nächsten Wochen und Monaten von Hackern gezielt ausgenutzt. Vor allem Unternehmen sollten sich genau überlegen, welche SSL-Anwendungen sie in nächster Zeit nutzen werden und immer genau kontrollieren, ob nicht vielleicht doch irgendwo Geld verloren geht. Die Hacker haben sich auf alle Fälle bereits in Stellung gebracht.

Zur Vollversion des Artikels
Weitere Artikel