Eigentlich gilt die SSL-Verschlüsselungstechnik (E-Banking, E-Government etc.) als unangreifbar. Nun wurde jedoch eine gefährliche Lücke entdeckt, die scheinbar gar nicht oder nur sehr schwer geschlossen werden kann. Kreditkartennummern, Passwörter etc. nichts ist mehr sicher!
Im Rahmen der alljährlichen Hacker-Konferenz im Süden der USA machten Spezialisten auf eine gefährliche Sicherheitslücke im Umgang aktueller Browser (Internet Explorer, Fifefox 3.0, Chrome) mit der SSL-Technik (SSL steht für Secure Sockets Layers) aufmerksam. Bislang galt diese Technik als unantastbar und wird deshalb weltweit für Anwendungen wie E-Banking oder E-Government verwendet. User können an dem "s" hinter "http" in der URL (https://) erkennen das sie auf einer via SSL-Technik verschlüsselten Seite surfen.
Lücke - Passwörter, Kreditkartennummern etc.
Nun
machten verschiedene Sicherheitsexperten klar, dass Hacker mit einer "man-in-the-middle"-Attacke
(Hacker agiert zwischen dem Anwender und der benutzten Website und fängt den
Datenverkehr ab) auch die geheimen Informationen abfangen können. Dadurch
gelangen die Angreifer an die eigentlich geheimen und sicher verschlüsselten
Kreditkarten-, Kontonummern oder Passwörter der Inernet-User.
Microsoft, Mozilla etc. wollen nun Gegenmaßnahmen setzen
Beim
Softwareriesen Microsoft ließ diese Meldung die Alarmglocken leuten und das
Unternehmen kündigte eine sofortige Untersuchung an. Mozilla hat dieses
Problem nach eigenen Angaben weitestgehend unter Kontrolle. Die neue Version
des Browsers (Firefox 3.5) lasse solche Angriffe nur mehr sehr schwer zu und
für die Schließung der letzten "Mini"-Lücke ist seit
Dienstag ein neues Update verfügbar (hier
geht's direkt zum Firefox 3.5.2 Update). Wer noch immer mit Firefox 3.0
surft, ist vor möglichen Hacker-Attacken nicht geschützt)
SSL-Betreiber arbeiten ebenfalls an dem Problem
VeriSign
(weltgrößter Anbieter der SSL-Tchnik) verweist auf den Umstand, dass die
Sicherheitslücke bei der neuesten Version der Zertifikate (Extended
Validation SSL certificates) bereits geschlossen wurde. Bei diesen neuen
Zertifikaten ist der finanzielle Aufwand für die Anbieter aber mit
erheblichen Mehrkosten verbunden, weil hier jeder Antrag eingehend geprüft
wird. Aus diesem Grund ist die EV-SSL-Technik auch nocht nicht weit
verbreitet. Banken und andere Anbieter warten bis auch bei dieser Technik
die Kosten auf ein annehmbares Niveau sinken.
Updates kommen für viele zu spät
Die
Sicherheitsexperten sind von den meisten der angekündigten Maßnahmen vorerst
wenig beeindruckt. Laut ihnen wird diese gravierende Lücke in den nächsten
Wochen und Monaten von Hackern gezielt ausgenutzt. Vor allem Unternehmen
sollten sich genau überlegen, welche SSL-Anwendungen sie in nächster Zeit
nutzen werden und immer genau kontrollieren, ob nicht vielleicht doch
irgendwo Geld verloren geht. Die Hacker haben sich auf alle Fälle bereits in
Stellung gebracht.