Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
ANLAESSLICH DER ANNAHME DES NEUEN NACHRICHTENDIENSTGESETZES DURCH DEN NATIONALRAT, AM DIENSTAG, 17. MAERZ 2015, STELLEN WIR IHNEN FOLGENDES ARCHIVBILD ZUR VERFUEGUNG - Ein Mann tippt Befehlszeilen in seinen Laptop, aufgenommen am 26. November 2009, gestellte Aufnahme. (KEYSTONE/Gaetan Bally) *** NO SALES, NO ARCHIVES ***

Schwere Sicherheitslücke bedroht Internetvebindungen. Bild: KEYSTONE

Sicherheitslücke trotz verschlüsselten Internet-Verbindungen – so schützt du dich gegen Hacker und Spione

HTTPS-Verbindungen sind vermeintlich sicher, sie werden zum Beispiel für Online-Banking genutzt. Tatsächlich können Hacker oder Spione über eine neu entdeckte Sicherheitslücke mitlesen. Wie du dich schützt – die Anleitung.



Ein Artikel von

Spiegel Online

Experten haben eine schwerwiegende Sicherheitslücke entdeckt, die Angreifern den Zugang zu verschlüsselten und damit vermeintlich sicheren Verbindungen zu Websites verschaffen kann. Verbindungen etwa über HTTPS oder TLS/SSL, wie sie zum Beispiel beim Online-Banking oder bei einer Passworteingabe genutzt werden, sind dadurch gefährdet.

Auf der Webseite, die die Forscher zu der neuen Sicherheitslücke eingerichtet haben, ist sogar eine Demonstration im Video zu sehen. Darin fangen die Wissenschaftler live eine Interaktion mit einem Web-Formular über eine eigentlich verschlüsselte Verbindung ab – es handelt sich um eine Seite der US-Bundespolizei FBI, auf der Nutzer Hinweise auf mögliche Straftaten hinterlassen können. Im Video ist zu sehen, wie die vollständige Information, die dort testweise eingetragen wurde, abgefangen und binnen Minuten entschlüsselt wird.

Nur der Internet Explorer ist sicher

Bis auf den Internet Explorer sind laut dem Forscherteam alle Browser und viele E-Mail- und Web-Server von dem Problem betroffen. Betrachtet man die erste Million der grössten Websites im Internet, seien 8,4 Prozent von der Sicherheitslücke betroffen, also weit über 80'000 Websites.

A lock icon, signifying an encrypted Internet connection, is seen on an Internet Explorer browser in a file photo illustration in Paris in this April 15, 2014 file photo. Hackers, most likely from China, have been spying on governments and businesses in Southeast Asia and India uninterrupted for a decade, researchers at internet security company FireEye Inc said.    REUTERS/Mal Langsdon/Files

Microsoft hat im Internet Explorer die Lücke bereits geschlossen. Bild: reuters

Das Forscherteam erklärt in seinem Bericht, die Lücke könne es Angreifern ermöglichen, eine verschlüsselte Verbindung erheblich zu schwächen. Angriffsfläche bietet dabei das sogenannte Diffie-Hellman-Verfahren, das eine Rolle spielt, wenn ein Nutzer eine sicherere Verbindung im Netz aufbaut. Etwa beim Online-Shopping, -Banking oder beim Abrufen der E-Mails. Der Schlüsseltausch geschieht dabei im Hintergrund, der Nutzer bekommt davon nichts mit.

Ein Fehler in diesem Verschlüsselungsprotokoll kann es Angreifern nun erlauben, quasi in Echtzeit auf die verschlüsselte Kommunikation zuzugreifen, ein mühsames Knacken ist gar nicht nötig. Und je mehr Rechenleistung und Geld für so einen Angriff zur Verfügung steht, desto ausgedehnter und einfacher kann auf die geheimen Daten zugegriffen werden.

Wer sich nun die bisher veröffentlichten NSA-Dokumente genauer ansehe, heisst es in dem Fachartikel (PDF) der Forscher, könne zum Beispiel Parallelen zu den dort beschriebenen erfolgreichen Angriffen auf VPN-Verbindungen erkennen.

Was Nutzer jetzt tun müssen

Tatsächlich ist ein Knacken von Verschlüsselung sehr aufwendig, deshalb werden eher Verschlüsselungssysteme geschwächt oder bestehende Schwachstellen ausgenutzt, wie etwa bei der im März entdeckten Sicherheitslücke Freak, der die neue Schwachstelle LogJam ähnelt. Freak nämlich gab es nur, weil US-Behörden vor Jahrzehnten den amerikanischen Firmen verboten hatten, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen.

Laut den Forschern hat Microsoft im Internet Explorer die Lücke bereits geschlossen, für Firefox und Apples Safari sollten die Updates demnächst erscheinen. Ob der eigene Browser betroffen ist, können Nutzer auf der Seite des Forscherteams prüfen: Dort erscheint oben ein blauer Balken mit einer Entwarnung, wenn der Browser nicht anfällig ist, ein orangefarbener Balken mit einer Warnung, wenn der Browser betroffen ist.

Die Forscher raten Nutzern ausserdem: «Stellen Sie sicher, dass Sie die neueste Version Ihres Browsers installiert haben und prüfen Sie, ob es Updates gibt.» Die wichtigen Updates können bereits in den nächsten Tagen kommen und müssen dann von den Nutzern installiert werden. Auch für Systemadministratoren haben die Forscher eine detaillierte Anleitung geschrieben, damit sie sich um die Sicherheit der Server kümmern können. (juh)

Das könnte dich auch interessieren

Die sieben eindrücklichsten Hacker-Attacken

Abonniere unseren Newsletter

Abonniere unseren Newsletter

2
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
2Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Lil'Ecko 21.05.2015 10:19
    Highlight Highlight Es ist und wird nie sicher sein, wann begreifen die Menschen das endlich...
    5 3 Melden
  • C0BR4.cH 21.05.2015 08:48
    Highlight Highlight Kleine Kritik ; )
    "Sicherheitslücke trotz verschlüsselten Internet-Verbindungen..."

    Das mit dem "trotz" klingt so, als würde Verschlüsslung grundsätzlich Sicherheitslücken ausschliessen, was natürlich absolut falsch ist. Sicherheitslücken kann man als gewöhnliche Programm- / Algorithmusfehler (aka Bugs) sehen. Auch Verschlüsslung kann fehlerhaft sein. Darum verwirrt das mit dem "trotz" ein bischen : )
    8 1 Melden

Killt die Digitalisierung unsere Jobs? Nicht wirklich, aber ...

Zum zweiten Mal fand die grosse PR-Show namens Digitaltag statt. Einmal mehr nur am Rande thematisiert wurden unbequeme Fragen: Gibt es genug Arbeit? Sind unsere Daten sicher?

Marc Walder platzte fast vor Stolz. Der CEO von Ringier und Gründer des Vereins Digitalswitzerland freute sich nicht nur über die Anwesenheit von Bundespräsident Alain Berset am zweiten Schweizer Digitaltag. Er betonte in seiner kurzen Begrüssung im Hauptbahnhof Zürich auch, der Anlass, der in gewisser Weise sein Baby ist, sei «europaweit einzigartig».

Die Zahlen sind durchaus beeindruckend. Der Digitaltag fand am Donnerstag an 14 Standorten in der ganzen Schweiz statt, mit Zürich als Zentrum …

Artikel lesen
Link to Article