Verschlüsselte Kommunikation im Internet: Achten Sie auf das Schloss im Browserfenster!

Veröffentlicht am 20. Mai 2009 in der Kategorie IT & Technik von

Interview mit Dolphin SecureDie verschlüsselte Kommunikation mit dem Browser, wie sie beispielsweise im Homebanking oder in E-Business-Systemen eingesetzt wird, ist technisch gesehen eine sehr sichere Sache. Allerdings sollten Anwender darauf achten, dass sie bei der verschlüsselten Verbindung auch mit dem richtigen Server kommunizieren. Dieser Artikel zeigt Ihnen, was Sie über verschlüsselte Verbindungen wissen sollten und was es zu beachten gilt.

Wahrscheinlich hat jeder schon einmal diese Empfehlung gehört oder gelesen, als es darum ging, sensible Daten über das Internet von einem Browser aus zu übertragen.

Genauso werden viele die Aussage „in der Adresszeile des Browsers sollte das https:// und nicht nur http:// stehen“ (das „s“ steht für secure) kennen.

Der Anwender kann davon ausgehen, dass die Kommunikationsverbindung ausreichend verschlüsselt ist. Es besteht aber die Gefahr, dass die Gegenseite gar nicht die ist, die sie vorgibt zu sein. Auch mit einem falschen WWW-Server kann man vortrefflich verschlüsselt kommunizieren. Dies ist ein Risiko, auf das oft nicht hingewiesen wird.

Das Vertrauensmodell

Die Identität der Gegenseite (bspw. ein Home Banking Server) basiert neben den sicheren kryptographischen Verfahren auf einem Vertrauensmodell. Betreiber von diesen sicheren Webseiten lassen sich von Certificate Authorities - sog. Trust-Centern - digitale Zertifikate für ihre Server ausstellen, die die korrekte Identität der Webseite bestätigen.

Vertrauen nun Anwender demselben Trust-Center, vertrauen sie, d.h. eigentlich ihr Browser, implizit allen WWW-Servern, deren digitale Zertifikate von diesem Trustcenter ausgestellt wurden. Dieses Anwendervertrauen wird technisch dadurch realisiert, dass sich ein sog. Stammzertifikat des Trust-Centers auf dem Anwendercomputer befindet und dem Browser zur Verfügung steht.

Beim Verbindungsaufbau überprüft der Browser die Identität des WWW-Servers (am übertragenen Serverzertifikat) und des Trustcenters anhand des Stammzertifikats auf dem eigenen Computer.

Ist die Zertifikatsinformation nicht einwandfrei (beispielsweise fehlt ein Stammzertifikat oder ist ein Zertifikat nicht mehr gültig), erscheint die Browsermeldung, dass mit der angewählten Seite etwas nicht in Ordnung ist.

Es bleibt dem Anwender überlassen, ob er die Seite verwendet oder nicht. „Das Zertifikat der angewählten Seite ist nicht vertrauenswürdig.“ So oder ähnlich lautet die Fehlermeldung. Erfahrungsgemäß bestätigt der Anwender, weil er sonst die vermeintliche Seite nicht kontaktieren kann.

Bei der Übertragung von sensiblen Daten sollten einige Punkte beachtet werden.

Kein einheitliches Gütesiegel für Webseiten

Zunächst einmal muss Anwendern bewusst sein, dass die eigenen Browserprogramme die Identität von sicheren Webseiten durch digitale Zertifikate verifizieren. Diese werden nicht von der Gegenseite, sondern von Certificate Authorities (Trustcenter) als kostenpflichtige Dienstleistung ausgestellt.

Gegen Gebühr kann jede Person oder Organisation von diesen Trustcentern digitale Zertifikate unterschiedlicher Qualität anfordern. Ein einheitliches und transparentes Gütesiegel für WWW-Server gibt es nicht. Auf den Webseiten der Trustcenter kann man sich über die Kriterien zur Ausstellung eines digitalen Zertifikats informieren.

Umgang mit Stammzertifikaten

Anwender vertrauen dem Trustcenter, wenn das Stammzertifikat des Trustcenters dem Browser zur Verfügung steht. Wer beispielsweise den Microsoft Internet Explorer benutzt, lädt per Voreinstellung ein Stammzertifikat ohne Meldung an den Benutzer auf den eigenen Rechner.

Der Browser meldet deshalb nie, dass die Seite nicht vertrauenswürdig ist.  Andere Browser sind hier zumindest per Voreinstellung etwas restriktiver konfiguriert. Hier müssen Anwender die Speicherung eines Stammzertifikats auf den eigenen Rechner bestätigen.

Überprüfen der Stammzertifikate

Jedes digitale Zertifikat, also auch Stammzertifikate, sind mit einem eindeutigen digitalen Fingerabdruck - einen Zeichenkette, die aus Ziffern besteht - ausgestattet.

Dieser Fingerabdruck ist auf den Webseiten des Trustcenters veröffentlicht und so haben die Anwender die Möglichkeit, die Echtheit des Stammzertifikats zu überprüfen. Stimmen die Zeichenketten im Zertifikat und auf der Webseite des Trustcenters überein, kann von einem echten Zertifikat ausgegangen werden.

Lesen der Zertifikatsinformation

Anwender sollten angezeigte Zertifikate lesen und zumindest auf Plausibilität überprüfen. Mit wenigen Mouse-Klicks lassen sich innerhalb des Browsers alle Zertifikatsinformationen anzeigen und ggf. verifizieren.

Vor allem wenn das Browserprogramm eine entsprechende Warn-Meldung ausgibt, sollte man diese Meldungen nicht achtlos ignorieren.

Fazit

Natürlich kann auf das Internet zur Übertragung von sensiblen Daten nicht verzichtet werden. Die Technologie ist bei der korrekten Anwendung auch sicher. Dennoch ist - auch im Sinne des Datenschutzes - eine erhöhte Vorsicht und Wachsamkeit zu empfehlen, um die vorhandene Technologie effizient und richtig anzuwenden.

Achten Sie also nicht nur auf das Schloss, sondern begegnen Sie den verwendeten Zertifikaten mit einer gesunden Portion Misstrauen…

(Bild: © vege - Fotolia.de)