Wie sicher sind eigentlich SSL Verbindungen?

Hacker und BeamteZur Zeit sind wieder viele Internet-Sicherheit-Gurus unterwegs, die in Blogs und Seminaren den Benutzern wahlweise Sicherheit versprechen oder ihnen Angst vor dem unsicheren Internet einjagen. Häufig wird Benutzern suggeriert, dass man  in Sicherheit ist, wenn man eine https Verbindung zum Server aufgebaut hat. Das können Benutzer leicht an der URL sehen. Hinter einer solchen Verbindung steht ein komplexes Sicherheitsverfahren, dass üblicherweise als SSL bezeichnet wird aber eigentlich TLS (Transport Layer Security) heißen müsste. Die meisten Internet Benutzer sind mit den Details dieses Verfahren sicher überfordert. Einige wesentlichen Eigenschaften der TLS Verbindung sollten Benutzer aber doch kennen.

  • Eine sichere TLS Verbindung (https) zwischen dem Browser des Benutzers und dem Server des Internet Anbieters ist im alltäglichen Betrieb gesichert gegen Abhören oder Veränderung der Daten.
  • Eine sichere Verbindung sagt nichts aus über die Seriosität des internet Anbieters. Auch Liederliche kommunizieren über sichere Verbindungen!
  • Auch eine sichere TLS Verbindung kann von Hackern, die ein Schadprogramm auf dem PC des Benutzers installieren können, transparent gemacht und beliebig gestört werden.
  • Staatliche Stellen haben schon immer die Möglichkeit gehabt, die Verschlüsselung in kommerziellen Programmen zu brechen. Die Schlüssellängen wurden von amerikanischen Stellen immer so begrenzt, dass man mit endlichem Aufwand auch verschlüsselte Dokumente lesen konnte.
  • Die NSA (und andere Profi Hacker) können jede Sicherheitsmaßnahme im Internet unterlaufen.

Als „normaler“ Benutzer sollte man sich darüber nicht übermäßig aufregen. Informierte Benutzer und Sicherheitsexperten haben schon immer gewusst, dass es keine absolute Sicherheit gibt.

In der Geschichte hat es immer Versuche gegeben, bestimmte Informationen geheim zu halten. Gelungen ist das aber nie. Das Briefgeheimnis gab es schon im Mittelalter nicht. Schon früh wurden z.B. von Mönchen Verfahren entwickelt, Siegel unbemerkt zu brechen oder neue Siegel zu erstellen. Selbst das Beichtgeheimnis war kein Geheimnis sondern eine kontrollierte Verteilung von sensitiven Informationen. Wer das Beichtgeheimnis wirklich ernst nahm, lebte nicht lange. Der Heilige Nepomuk wurde dafür zu Prag in der Moldau ertränkt. Er hat es dafür wenigstens zum Brückenheiligen gebracht. Die Oberen der NSA denken darüber nach, im Fall  Edward Snowden ähnliche Methoden einzusetzen. Über eine ähnliche Ehrung für Edward Snowden sollten alle ehrlichen Internet Benutzer nachdenken.

Mit diesem Wissen sollten „normale“ Internet Nutzer sehr vorsichtig sein, wenn ihnen teure „Sicherheitsprodukte“ angeboten werden. Teurer ist nicht automatisch sicherer.

Eine Antwort zu “Wie sicher sind eigentlich SSL Verbindungen?

  1. Pingback: Wie sicher sind eigentlich SSL Verbindungen? - SharePoint Blogs in German - Bamboo Nation