pandorasquared

SS Zertifikate, wie z.B. die SSL Zertifikate von psw.net, bürgen für Sicherheit am PC, allerdings schützen sie nicht vor dem Ausspähen von Passwörtern, die ein Nutzer freiwillig preisgibt. Dies geschieht durch Phishing, bei dem eine angeblich vertrauenswürdige Seite vorgibt, Angaben des Nutzers inklusive Passwort zu benötigen. Da Phishing auch von SSL gesicherten Seiten aus vorgenommen wird, sollten Nutzer nur Seiten mit Extended Validation vertrauen – das sind SSL Seiten, die mit grünem Balken in der Browser-Zeile unterlegt sind.

Die Vergabe von SSL Zertifikaten

Die Zertifikate werden auch für die private Nutzung in niedrigeren Sicherheitsstufen preiswert vergeben, jeder kann also eine SSL verschlüsselte Seite betreiben. Da diese Seiten sehr lange, bis zum Beginn der 2000er Jahre, einen Vertrauensbonus besaßen, und gleichzeitig die Zertifikate von privaten Anbietern vertrieben werden, nutzten Kriminelle einfache, preiswerte SSL Zertifikate für das Phishing. Sie gaben sich mit gefälschten Mails und SSL verschlüsselten Webseiten als Bank des Kunden aus und forderten diesen auf, Passwort und TANs einzugeben, angeblich, um die Sicherheit zu erhöhen. Darauf wurde seitens der Provider mit der Extended Validation reagiert. Diese erweiterte Überprüfung durch eine Zertifizierungsstelle stellt sicher, dass ein SSL Zertifikat, wie z.B. eins von openssl.org nur an detailliert überprüfte Antragsteller vergeben wird. Der Antragsteller muss sich und seine Firma ausweisen, das Verfahren ist sehr sicher. Das vergebene Zertifikat wird in der Browserzeile grün unterlegt, diese Kennzeichnung ist nicht zu kopieren oder zu fälschen. Sämtliche Banken und andere Webseiten mit sensiblem Datenverkehr nutzen im Jahr 2011 die Extended Validation. Hier ist ein Passwort-Diebstahl ausgeschlossen, von so einer Seite ist auch kein Phishing-Angriff zu erwarten. Darüber hinaus schützt vor Phishing der gesunde Menschenverstand. Keine Bank fragt ihre Kunden nach deren Passwort.

Das Hacken ungesicherter Accounts

Natürlich gibt es jede Menge ungesicherter Accounts, zum Beispiel in social networks wie Facebook. Wer sich dort über einen ungesicherten WLAN-Hotspot einloggt, kann ausgespäht werden. Inzwischen gibt es beispielsweise die Android-App FaceNiff, die ungesicherte Session-Cookies ausspäht, die ein Nutzer auf seinem Facebook- oder Youtube-Konto hinterlassen hat (natürlich auch auf anderen Seiten). Diese App FaceNiff – es gibt mehr solcher Programme – ist simpel zu installieren und einzusetzen, ein Schutz ist nur möglich, wenn prinzipiell SSL-Verschlüsselungen, wie z.B. die von pedro-reimers.de, genutzt werden. Diese kann auf dem eigenen Facebook-Konto eingestellt werden (Konto–> Kontoeinstellungen–> Kontosicherheit–> Haken auf „sicheres Durchstöbern“), bei Twitter ebenfalls (Profil–>Profil Bearbeiten–> Account–>Haken auf „Nur HTTPS“).

Der Man-In-The-Middle-Angriff

SSL-Seiten ohne Zertifikat, also ohne Extended Validation (ohne grün unterlegte Browserzeile) können Opfer eines Man-In-The-Middle-Angriffs werden. Bei der Extended Validation wird vor jeder Verbindung zwischen Nutzer und SSL-verschlüsselter Seite die Zertifizierungsstelle nach der Identität der Seite angefragt. Ohne diese Anfrage kann ein Hacker vor dem Austausch der SSL-Schlüssel zwischen Nutzer und SSL Seitenbetreiber sich in den Datenverkehr beider Seiten einloggen (hacken) und den Datenverkehr abfangen, inklusive der später getauschten Schlüssel und Informationen. Es ist nach wie vor zu empfehlen, bei wirklich sensiblen Daten ausschließlich auf die grün unterlegte Browserzeile zu vertrauen – jedenfalls so lange, wie dieses Verfahren als vertrauenswürdig gilt. Die Standards setzen in dieser Hinsicht die Banken. Es ist durch Untersuchungen belegt, dass Banken Hackerversuche und -Angrffe innerhalb von vier bis acht Stunden aufklären und abwehren. Die Sicherheitsstandards im Finanzsektor sind sehr hoch, und sie sind von jedem normalen Bürger mit einem Online-Konto zu verfolgen. Daran sollte man sich orientieren.