Ob beim Onlinebanking oder Internet-Shopping: Wo Daten übertragen werden, die besonders missbrauchsgefährdet sind, ist es den Anwendern wichtig, dass dies verschlüsselt erfolgt. Das SSL-Protokoll (Secure Sockets Layer) gilt dabei vielen als ein Garant für eine sichere Datenübertragung über das Internet. Doch ein blindes Vertrauen in die Zertifikate kann gefährlich sein.

Cloud Computing Datenschutz

Der Initiative „Trustworthy Internet Movement“ zufolge weist die Mehrzahl der Internetseiten, die über ein gültiges SSL-Zertifikat verfügen, Fehler bei der Implementierung des Protokolls auf. Allein die Tatsache, dass eine Seite eine SSL-Verschlüsselung anbietet, sollte Ihnen daher nicht genügen, wenn Ihnen die Sicherheit der übertragenen Daten wichtig ist.

Der kostenlose Webdienst SSL-Pulse überprüft anhand verschiedener Kriterien, ob eine SSL-verschlüsselte Seite vertrauenswürdig ist und weist auf eventuelle Unregelmäßigkeiten hin. Damit können Sie die Sicherheit von Seiten kontrollieren, denen Sie vertrauliche Daten anvertrauen, sowie die korrekte Implementierung des Protokolls für Ihre eigene Internetseite überprüfen, um eventuelle Fehler zu beheben. Aber kein Automatismus kann das eigene wache Auge ersetzen. Darum haben wir haben für Sie im Folgenden zusammengefasst, worauf Sie achten sollten, um eine verlässliche SSL-Verschlüsselung zu erkennen.

Das SSL-Protokoll stellt einen sicheren Transportkanal zwischen zwei Computern her durch den Informationen verschlüsselt übertragen werden und somit vor dem Zugriff Unbefugter geschützt sind. Dass eine Webseite diesen Mechanismus tatsächlich zuverlässig einsetzt, wird von einem autorisierten Unternehmen mit einem Zertifikat bestätigt. Dieses Zertifikat wird automatisch von Ihrem Browser abgefragt, wenn Sie eine Seite mit dem https-Protokoll ansteuern.

Unterschiede bei den Zertifikaten

Die Qualität der Prüfung ist nicht bei allen Zertifizierungsstellen gleich. So beschränkt sich bei manchen Anbietern die Kontrolle allein auf eine telefonische Abfrage von Informationen, während andere Stellen offizielle Dokumente zur Prüfung heranziehen. Bei einer weniger genauen Prüfung besteht die Gefahr, dass aufgrund falscher Angaben ein gültiges Zertifikat ausgegeben wird, ohne dass die vorausgesetzte Sicherheit tatsächlich gegeben ist.

Auch auf den Validierungsgrad der Zertifizierung ist zu achten. Bei domainvalidierten Zertifikaten (Domain Validation) überprüft die Zertifizierungsstelle nur, ob der Antragsteller auch Eigentümer der betreffenden Domain ist. Zu diesem Zweck wird an eine für die Domain als administrativ erscheinende E-Mail-Adresse eine Nachricht geschickt, die bestätigt werden muss. Das Risiko einer Täuschung ist bei diesem geringen Kontrollgrad verhältnismäßig hoch.

Bei unternehmensvalidierten Zertifikaten (Organization Validation) werden zusätzlich die Unternehmensdaten überprüft. Das Zertifikat enthält den Namen und die volle Anschrift der Organisation sowie gegebenenfalls weitere Daten.

Die höchste Validierungsstufe ist bei sogenannten EV-Zertifikaten (Extended Validation) gegeben. Die Zertifizierungsstellen, die EV-Zertifikate ausstellen, müssen sich einheitlichen Qualitäts- und Verfahrensprüfungen unterziehen. Beim Validierungsverfahren wird neben der Domain-Eigentümerschaft und der Identität der Organisation auch die Identität der antragstellenden Person ermittelt. Dabei wird kontrolliert, dass diese beim betreffenden Unternehmen angestellt und befugt ist, erweiterte SSL-Zertifikate zu erwerben.

Der Browser als Indikator

Die aktuellen Versionen der gängigen Webbrowser hinterlegt die Adresszeile mit einer grünen Hintergrundfarbe, wenn eine EV-zertifizierte Seite angesteuert wird. Mit einem Klick kann über diese Leiste auch der Name der Organisation und die Zertifizierungsstelle eingeblendet werden.

Das SSL-Protokoll ist so angelegt, dass das System automatisch Kontrollaufgaben für Sie übernimmt. Auch wenn Sie es eilig haben, sollten Sie Browsermeldungen nicht leichtfertig wegklicken. Meldet Ihr Browser ein abgelaufenes oder gar zurückgezogenes Zertifikat, ist Vorsicht geboten. Alarm wird auch geschlagen, wenn die angesteuerte Internetadresse von der im Zertifikat angegebenen abweicht. Da mit SSL-Zertifikaten viel Missbrauch getrieben wird, sind solche Meldungen ernst zu nehmen. Wenn ein Server mit einem gültigen SSL-Zertifikat gehackt wird, können Betrüger ihren Phishing-Seiten darüber den Anschein der Vertrauenswürdigkeit geben. Daher sollten Sie bei Unregelmäßigkeiten bei den Angaben zum Zertifikat misstrauisch werden.

SSL bietet keinen Rundumschutz

Das SSL-Protokoll verschlüsselt Daten, die zwischen einer Domain und dem Besucher dieser Domain ausgetauscht werden. Das bedeutet, dass beispielsweise Ihre Kontodaten, die Sie beim Online-Shopping eingeben, sicher auf dem Server des Shop-Betreibers ankommen und kein Dritter auf diese Informationen zugreifen kann. Was im Weiteren mit Ihren Daten passiert, steht aber auf einem anderen Blatt. Es kann sein, dass ein Anbieter eine SSL-verschlüsselte Datenübertragung anbietet, aber die übertragenen Daten anschließend unzureichend gesichert speichert. Ein SSL-Zertifikat wird allzu häufig als vordergründiges Indiz erworben, um Vertrauen bei den Kunden zu erwecken. Darüber, wie es mit der Datensicherheit in einem Unternehmen insgesamt bestellt ist, sagt ein SSL-Zertifikat nur wenig aus. Wenn Sie Ihre Daten wirklich in vertrauenswürdigen Händen wissen wollen, achten Sie auf weitere Kriterien, wie beispielsweise eine ISO 27001-Zertifizierung der IT-Prozesse innerhalb des Unternehmens.

Sie sollten auch darauf achten, wie weit die verschlüsselte Verbindung reicht. Die angesteuerte Internetseite wird durch ihre IP-Adresse identifiziert. Seiten, die zusammen mit weiteren Tausenden von Homepages auf den Servern großer Massenhoster liegen, haben keine eigene IP-Adresse. Um dennoch eine SSL-Verbindung anbieten zu können, betreiben solche Provider einen SSL-Proxy. Der Webseitenbesucher steuert dann über die SSL-Verbindung nicht die eigentliche Zielseite an, sondern diesen Proxy-Server. Die Daten werden anschließend vom Proxy zur Zielseite weitergeleitet. Die SSL-Verschlüsselung besteht allerdings nur zwischen dem Browser des Besuchers und dem Proxy. Inwieweit der weitere Weg der Daten vor dem Zugriff Unbefugter geschützt ist, liegt jenseits dessen, was ein SSL-Zertifikat aussagen kann.

Zusammenfassend lässt sich sagen, dass Sie auf zwei Bereiche achten sollten, wenn Ihnen die Sicherheit der übermittelten Daten wichtig ist:

1 Antwort

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.