Technik

Auch Banken nutzen das Verfahren BND will Schwachstellen von SSL ausnutzen

50871671.jpg

Bekommt der BND Zugriff auf die Standardverschlüsselung im Netz?

(Foto: picture alliance / dpa)

Der deutsche Geheimdienst will offenbar Experten anheuern, um leichter Zugriff auf verschlüsselte Daten im Internet zu bekommen. Das vom BND ins Visier genommene SSL-Protokoll ist ohnehin nicht sicher - aber sowohl beim Online-Banking, als auch beim Einkauf im Netz kommt es fast überall zum Einsatz.

Der Bundesnachrichtendienst will Medienberichten zufolge seine Fähigkeiten zur Überwachung des Internets deutlich ausbauen. Ginge es allein nach dem Willen des deutschen Auslandsgeheimdienstes, sollen demnach bis 2020 rund 300 Millionen Euro in neue Technologie und den Ankauf zusätzlicher Expertise fließen. Ein Ziel sei das Entschlüsseln gesicherter SSL-Internetverbindungen. Die Technik ist keineswegs fehlerfrei und bietet Profis eine Vielzahl möglicher Ansatzpunkte für Spähattacken.

Aber was ist SSL? SSL steht für "Secure Socket Layer", die Technik verschlüsselt Verbindungen zwischen Internetseiten und den Rechnern von Nutzern während des Transportwegs durch das Netz und damit soll sie gegen unbefugtes Mitlesen sichern. SSL oder deren Weiterentwicklung TLS wird heute nach Angaben des Bundesamts für Sicherheit in der Informationstechnik von allen gängigen Webbrowsern unterstützt und beispielsweise bei der Online-Kontaktaufnahme zu Banken, der Einwahl in große soziale Netzwerke oder beim Abwickeln von Einkäufen über Versandhändler eingesetzt.

Vorhängeschloss zeigt SSL-Verbindung

3lwz1443.jpg4734188470923746682.jpg

Der deutsche Geheimdienst will seine Fähigkeiten verbessern - und will dafür viel Geld von der Bundesregierung.

(Foto: dpa)

Nutzer erkennen den Aufbau einer SSL/TLS-gesicherten Verbindung unter anderem daran, dass die Internetadresse mit "https" beginnt. Oft ändert sich auch die Farbe der Adresszeile in grün oder es erscheint ein Schloss, um die erreichte Sicherheitsstufe optisch hervorzuheben.

Über SSL/TLS wird automatisch eine Art verschlüsselter Kanal zwischen dem Rechner des Nutzers und dem Server aufgebaut, auf dem die aufgerufene Internetseite liegt. Bestandteil des Systems ist ein dem Server zugeordnetes Zertifikat, das dessen Authentizität bestätigen soll und vom Browser am anderen Ende überprüft wird. Kann er die Echtheit bestätigen, wird durch einen Algorithmus ein sogenanntes kryptografisches Schlüsselpaar erzeugt und zwischen beiden Seiten verschlüsselt ausgetauscht. Mit diesem werden dann sämtliche Datenpakete beim Versand über das Internet für Außenstehende unkenntlich gemacht.

Treffen die Berichte zu, dann will der BND nun unter anderem externe Spezialisten anheuern, um Schwachstellen dieses Systems zu finden - und es ist gut möglich, dass sie erfolgreich sind. Denn, dass SSL/TLS durchaus verwundbar ist, ist in Fachkreisen kein Geheimnis mehr.

Eines der Grundprobleme liegt im Konstruktionsprinzip der Technik: Es sorgt nur für die Verschlüsselung von Daten beim Transport zwischen Rechnern und Servern, an beiden Enden aber werden diese wieder entschlüsselt und können somit abgefangen werden. Erlangt ein Geheimdienst Zugriff auf Speicherserver eines sozialen Netzwerks und werden die Informationen dort nicht gesondert gesichert, bräuchte er sich mit der SSL-/TLS-Verschlüsselung gar nicht aufhalten.

Darüber hinaus gibt es diverse weitere Schwachpunkte: Schon länger diskutiert wird über die Qualität des Verschlüsselungs-Algorithmus im Herzen von SSL/TLS. Der US-Geheimdienst NSA soll nach Angaben des bekannten Internetaktivisten Jacob Appelbaum angeblich sogar in der Lage sein, die von Internetfirmen genutzte Algorithmus-Version in Echtzeit zu knacken.

Komplexe Architektur

Ein weiteres Thema sind die selbst für Profis oft nur schwer erkennbaren Sicherheitslücken in der komplexen Architektur der Verschlüsselungstechnik. Das jüngste Beispiel war der Programmfehler "Heartbleed" in der freien Verschlüsselungs-Software OpenSSL. Die Schwachstelle hatte zur Folge, dass ein Angreifer beim Aufbau einer sicheren Verbindung Zugriff auf Teile des Arbeitsspeichers eines Rechners erlangen konnte. Es dauerte Jahre, bis das Problem entdeckt wurde.

Bereits zuvor hatten Hacker andere Lücken mit Namen wie "Breach" und "Crime" gefunden. Diese nutzten Kenntnisse über die Datenkompression bei Internetverbindungen, um mit Hilfe aufwändiger Angriffsszenarien aus dem Strom SSL/TLS-verschlüsselter Daten potenziell sensible Daten wie die Anmeldeschlüssel für Websites herauszufiltern.

Auch das System der Zertifikate-Vergabe an Websites ist ein Einfallstor. So ist denkbar, dass Hacker derartige Dokumente fälschen oder manipulieren, um Browsern die Echtheit eines Servers vorzutäuschen und sich dann in eine gesicherte Verbindung "einzuklinken" und mitzulesen.

Quelle: ntv.de, rpe/AFP

ntv.de Dienste
Software
Newsletter
Ich möchte gerne Nachrichten und redaktionelle Artikel von der n-tv Nachrichtenfernsehen GmbH per E-Mail erhalten.