Zum Hauptinhalt springen

Verschlüsselung:Mehr als ein Drittel aller "sicheren" Webseiten anfällig für IT-Sicherheitslücke

  • IT-Experten haben eine Sicherheitslücke entdeckt, von der mehr als ein Drittel aller Webseiten betroffen sind, die eine HTTPS-Verbindung ermöglichen. Die Lücke ist möglich, weil Schutzmechanismen bewusst geschwächt wurden.
  • Für die Forscher beweist der Fall: Technische Schwachstellen einzubauen, wie das USA, Großbritannien und Deutschland fordern, ist gefährlich.

Von Hakan Tanriverdi

IT-Experten haben eine kritische Sicherheitslücke entdeckt, mit der Hacker potenziell 37 Prozent aller Webseiten weltweit, die eigentlich eine geschützte Verbindung sicherstellen sollen, angreifen können. Brisant an der Lücke, die Forscher "Freak" nennen, ist: Sie ist nur deshalb entstanden, weil die USA in den neunziger Jahren Anbieter zu einer bewusst schwachen Verschlüsselung gezwungen haben. Sie ist so schwach, dass sie bereits 1999 zum ersten Mal geknackt werden konnte. Ist eine Verschlüsselung geknackt, kann sie nicht mehr als sicher gelten.

Die Sicherheitslücke ist nun Teil einer Diskussion, die erbittert geführt wird. Unter anderem US-Präsident Barack Obama, der britische Premierminister David Cameron, der deutsche Innenminister Thomas de Maizière und der Chef des FBI fordern Anbieter wie Apple seit Monaten dazu auf, ihre Systeme bewusst zu schwächen. Polizeibehörden sollen so einen Zugriff auf die Daten bekommen und sie auslesen können, wenn ein richterlicher Beschluss vorliegt. Doch das neue mobile Betriebssystem von Apple ist komplett verschlüsselt. Solange ein Nutzer sein Smartphone oder Tablet nicht selbst entsperrt, bleiben die Daten unlesbar. Dagegen protestieren Behörden und Politiker.

Webbrowser wählen knackbare Verbindung

Die Forscher des staatlichen französischen Instituts Inria, die die Lücke entdeckt haben, bezeichnen sie als "Zombie". Niemand habe damit gerechnet, dass die schwache Verschlüsselung überhaupt noch existiere. Wie die Washington Post nun berichtet, können Angreifer bei dieser Sicherheitslücke Webbrowser dazu veranlassen, die veraltete Form der Verschlüsselung zu wählen. Während Nutzer also glauben, dass die von ihnen eingegebenen Informationen wie zum Beispiel Passwörter durch eine sichere Verbindung abgeschirmt werden, passiert genau das nicht.

Gemeinsam mit einem Team haben die Forscher in den vergangenen Wochen IT-Firmen und Webseiten-Betreibern vorab mitgeteilt, dass diese Lücke existiert. Das passiert standardmäßig, damit die Firmen Zeit haben, ihre Systeme zu aktualisieren. Doch da sich ein Dienstleister nicht an das Stillschweigen gehalten und in einem Blogbeitrag über die Lücke berichtet hat, sind zum Beispiel Systeme von Apple noch nicht aktualisiert. Wer hingegen mit den aktuellen Versionen der Browser Firefox und Chrome im Netz unterwegs ist, dessen Kommunikation ist von dem Angriff nicht betroffen.

Für IT-Experten dient die Lücke als Argument

Es ist unklar, ob und wie genau diese Lücke ausgenutzt wurde. Rein technisch sei es für einen begabten Hacker möglich, diesen Angriff in sieben Stunden auszuführen, schreibt der an der Arbeit beteiligte Kryptografie-Experte Matthew Green in seinem Blog. Dann kann der Verbindungsaufbau zu einer der betroffenen Webseiten manipuliert werden. Zu den betroffenen Webseiten gehört zum Beispiel auch die Internet-Präsenz des amerikanischen Geheimdienstes NSA. Die Forscher selbst stufen die Gefahr eines tatsächlichen Angriffs auf diese Art als nicht besonders hoch ein. Dazu seien die Hürden zu hoch - oder anders gesagt: Es gibt einfachere Wege.

Doch für die Experten dient diese Sicherheitslücke nun als Argument gegen technische Hintertüren. Green schreibt, dass IT-Systeme bereits heute so komplex seien, dass sie unter Normalbedingungen an der Belastungsgrenze operieren. Es gebe keinen Platz für Schwachstellen. "Um es so klar wie möglich zu sagen: Hintertüren für Verschlüsselung werden sich immer gegen dich wenden und dich in den Arsch beißen."

Was Nutzer tun können

Nutzer, die nicht wissen, ob sie betroffen sind, können die Seite Freakattack.com besuchen. Dort wird ihnen angezeigt, ob ihr Browser anfällig für diesen Angriff ist. Falls ja, sollten sie ihren Browser updaten (gilt zum Beispiel für Chrome). Safari-Browser sind momentan anfällig. Apple hat für kommende Woche ein Update angekündigt.

© Süddeutsche.de/hatr/mri/mikö - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Lesen Sie mehr zum Thema

SZ Stellenmarkt
:Entdecken Sie attraktive Jobs

In anspruchsvollen Berufsfeldern im Stellenmarkt der SZ.

Jetzt entdecken

Gutscheine:

Zur SZ-Startseite