Cookies:Sicherheitslücke in verschlüsselten Verbindungen

  • Ein aktueller Bericht von drei Google-Mitarbeitern zeigt, dass das 15 Jahre alte SSL-Protokoll zur Verschlüsselung von Datenverkehr fehleranfällig ist.
  • Für Hacker ist es möglich, sich in Nutzer-Accounts einzuloggen. Sie müssen dafür Zugriff auf den Internetzugang haben.
  • Große Internet-Konzerne haben reagiert und angekündigt, SSL nicht länger zu unterstützen.

SSLv3 ist unsicher

Das System ist eines der zentralen Bestandteile, mit dem Nutzer im Netz sicherer surfen sollen - und es ist offenbar sehr fehleranfällig. Das geht aus einem Bericht hervor, den drei Google-Mitarbeiter veröffentlicht haben. Es ist ihnen gelungen, eine 15 Jahre alte Verschlüsselungsfunktion zu knacken: SSLv3. Das SSL-Protokoll wird benutzt, um die Datenübertragung zwischen dem Internet-Browser und der Seite, die man aufrufen will, geheim zu halten. Gibt man ein Passwort ein, kann es nicht von anderen Personen mitgelesen werden. Die Forscher haben den Angriff Poodle genannt (auf deutsch: "Pudel").

Der Angreifer muss Zugriff auf den Internetzugang haben

Damit die Lücke ausgenutzt werden kann, braucht der Hacker Zugriff auf die Internet-Verbindungen. Das ist zum Beispiel in einem offenen Wlan der Fall - und auf Ebene der Geheimdienste, die sich den Zugang zu Internet-Anbietern erzwingen können.

Hat ein Hacker diesen Zugang, ist vor allem ein Angriff denkbar, wie ihn der Kryptografie-Experte Matthew Green ausführt: Es ist möglich, Cookies zu entschlüsseln. Cookies sind kleine Info-Dateien, die auf dem Computer gespeichert werden und sich automatisch aktivieren - man muss das Passwort also nicht erneut eingeben. Laut Green und anderen Sicherheitsforschern ist es zwar nicht möglich, dadurch das Passwort zu erraten, aber durchaus, sich in Accounts einzuloggen und dort zum Beispiel die E-Mails zu lesen oder einen Einblick in das Bankkonto zu bekommen (falls die Bank die besagte SSL-Version nicht ausgeschaltet hat)

SSL wurde zwar ersetzt, wird aber akzeptiert

Der Angriff ist kritisch, auch wenn moderne Webseiten längst eine aktuellere Version von SSL benutzen, die sich TLS nennt und von der Sicherheitslücke nicht betroffen ist. Das Problem ist jedoch, dass viele Browser die alten SSL-Verbindungen weiterhin akzeptieren. Ein Angreifer kann also verhindern, dass ein Browser die Verbindung mit der aktuellen Version aufbaut.

Internet-Firmen kündigen an, SSL nicht länger zu unterstützen

Der Bericht der Google-Mitarbeiter hat für Aufsehen gesorgt. Mehrere Seiten und Browser haben daraufhin angekündigt, die Unterstützung von SSL einzustellen. Zu diesen Firmen gehören unter anderem Google, Mozilla und Twitter.

Was Nutzer jetzt tun können

Es ist grundsätzlich empfehlenswert, dass Sie einen aktuellen Browser verwenden. Anschließend sollten Sie darauf achten, im jeweiligen Browser das Unterstüzen von SSLv3 zu deaktivieren. Im Internet Explorer klicken Sie dazu auf "Extras", "Internetoptionen", wählen dort den Reiter "Erweitert" an und scrollen zu dem Punkt "Sicherheit". Dort entfernen Sie das Häkchen bei "SSL 3.0 verwenden". Um SSL im Chrome-Browser zu deaktivieren, folgen Sie diesen Einstellungen (eine Erklärung in Bildern finden Sie hier). Firefox rät dazu, den Browser so einzustellen, dass er automatisch das neueste Update installiert. Dazu gehen Sie in die Einstellungen, klicken auf "Erweitert", wählen den Reiter "Update" und aktivieren dort das automatische Installieren.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Abo kündigen
  • Kontakt und Impressum
  • AGB