Mit der SSL-Verschlüsselung Sicherheit vor Trojanern gewinnen

Massnahmen zur Internetsicherheit haben über das letzte Jahrzehnt an Bedeutung gewonnen, um Viren oder Trojaner effektiv abzuwehren. Während dem privaten Nutzer solche Massnahmen obligatorisch anzuraten sind, können Onlineshops oder Behörden auf keinen Fall auf diese verzichten. Die Übermittlung persönlicher Anmeldeinformationen oder sensibler Daten von Kreditkarten und Girokonten beim Bezahlen einer Bestellung setzt höchste Massstäbe in der Datensicherheit voraus – die sogenannte SSL-Verschlüsselung ist hierbei zum Standard der zeitgemässen Internetnutzung geworden.

Mittlerweile durch das Nachfolgeprotokoll TLS ersetzt, das eine noch grössere Sicherheit in der Datenübermittlung im Internet zusichert, ist die Bezeichnung der SSL-Verschlüsselung weiterhin geläufig. Sämtlichen Protokollen gemeinsam ist die kryptische Übermittlung sämtlicher Informationen, d. h. eine mitlesende Partei wird nichts mit den Inhalten der abgefangenen Daten anfangen können. Genau dies wäre die wesentliche Gefahr nach Infizierung mit einem Trojaner, der im Hintergrund des Systems aktiv wird und darauf wartet, dass Passwörter oder ähnlich sensible Informationen unverschlüsselt vom Nutzer eingegeben werden.

Wie die TLS- oder SSL-Verschlüsselung funktioniert

Soll es zu einer verschlüsselten Übermittlung von Daten kommen, wird auf Anfrage durch den Nutzer ein Zertifikat seitens des Servers, also z. B. des Betreibers eines Onlineshops, ausgesandt. Hiernach einigen sich beide Seiten auf einen Schlüssel, der nur im Zusammenwirken von Client und Server interpretiert werden kann. Gemäss diesem Schlüssel werden die zu versendenden Daten beidseitig bearbeitet; während des reinen Datenaustausches werden so nach dem Schlüssel manipulierte Informationen an die jeweils andere Seite übermittelt.

Da diese alleine im Besitz des kryptografischen Schlüssels ist, wird nach Übersendung eine Entschlüsselung der Daten möglich, um den tatsächlichen Inhalt auszulesen und nutzen zu können. Etwas weniger sicher ist die Methode, bei welcher der Client nach Zertifizierung des Servers eine selbst erzeugte Zufallszahl übermittelt, die als Grundlage des Schlüssels dient. Grundsätzlich ist der kryptografische Schlüssel ausschliesslich für eine Transaktion gültig.

Wie ein Schutz vor vielen Trojanern möglich wird

Sollte ein Trojaner bzw. dessen Backdoor-Programm im Hintergrund des Systems laufen, besteht das Risiko eines Abfangens der übermittelten Informationen. So wird es dem Hacker unabhängig von einer bestehenden SSL-Verschlüsselung möglich, die sensiblen Daten des Clients abzufangen, beispielsweise verschlüsselte Informationen über Bankdaten oder ein Passwort. Da er jedoch nicht im Besitz des kryptografischen Schlüssels ist, für dessen komplette Dekodierung er auch die Informationen seitens des Servers benötigte, wird er keine Entschlüsselung der erfassten Daten durchführen können. Der Internetnutzer kann in dieser Situation nicht den Datentransfer selbst verhindern, wird in vielen Fällen jedoch darauf vertrauen können, dass die übermittelten Daten für den Hacker nutzlos sind.


Wird ein TLS- bzw. SSL-Schlüssel verwendet, lässt sich durch die Länge des kryptografischen Schlüssels die Sicherheit zusätzlich beeinflussen. (Bild: nasirkhan / Shutterstock.com)
Wird ein TLS- bzw. SSL-Schlüssel verwendet, lässt sich durch die Länge des kryptografischen Schlüssels die Sicherheit zusätzlich beeinflussen. (Bild: nasirkhan / Shutterstock.com)


Welche Formen der Verschlüsselung zum Einsatz kommen

Wird ein TLS- bzw. SSL-Schlüssel verwendet, lässt sich durch die Länge des kryptografischen Schlüssels die Sicherheit zusätzlich beeinflussen. Konkret wird dies über die Bit-Länge des Schlüssels geregelt: Mit grösserer Länge wächst der Grad der Kodierung und somit die Sicherheit im Internet. In früheren Jahren war die Verschlüsselung mit 128 Bit ein Standard, heutzutage vertraut jeder grössere Onlineshop oder Websitebetreiber in der Schweiz auf die Verschlüsselung mit 256 Bit. Noch längere Datenschlüssel sind möglich und vermitteln dem jeweiligen Nutzer die Gewissheit, dass der Betreiber des Servers grössten Wert auf die Sicherheit der Datenübermittlung legt. In den kommenden Jahren könnten sie zum Standard werden, falls sich Angriffe im Internet häufen sollten und ein wachsender Grad der Sicherheit gefordert wird.

Schützt die SSL-Verschlüsselung in sämtlichen Fällen?

TLS- bzw. SSL-Schlüssel haben sich weltweit etabliert und werden von allen grossen Websites und Shops angewendet. Dies wäre nicht der Fall, wenn nicht vollstes Vertrauen in das Protokoll herrschen würde; regelmässige Sicherheitslücken und negative Meldungen zur SSL-Verschlüsselung hätten schnell zu einer Ablehnung dieser Form der kryptografischen Datenübermittlung geführt.

Dennoch sind die Hacker weltweit darum bemüht, auch diese Form der Verschlüsselung zu knacken und im Rahmen der ersten Schritte eines Datentransfers sämtliche Informationen zur Dekodierung der verschlüsselten Daten abzufangen. Es ist nicht auszuschliessen, dass dies im Laufe der nächsten Monate oder Jahre gelingt und selbst nachfolgende Protokolle von TLS angreifbar werden. Im Moment darf jedoch jeder Internetnutzer von der höchsten Sicherheit in der Datenübermittlung ausgehen, wenn ein Shop oder eine Behörde auf eine 256-Bit-SSL-Verschlüsselung vertraut.

Unabhängig von der Verschlüsselung vorsichtig mit Daten umgehen

Wer trotz gehobener Standards der Kryptografie verschiedene Sicherheitslücken bei der Übermittlung seiner Daten im Internet fürchtet, sollte so selten wie möglich sensible Informationen online übermitteln. Verschiedene Massnahmen sind allen Nutzern anzuraten, um es Hackern nicht zu einfach zu machen. Vom regelmässigen Austausch der Passwörter bis zu einer leistungsstarken Firewall reichen die Expertenvorschläge, die mit jedem Jahr eine grössere Rolle spielen und zur Online-Sicherheit beitragen. Sollte es explizit um finanzielle Dienste gehen, kann anstelle des Onlinebankings auf Prepaid-Lösungen wie die Paysafecard vertraut werden. Jeder Nutzer sollte hier selbst überlegen, welches Schutzbedürfnis er im Internet sieht und mit einer verschlüsselten Datenübermittlung umsetzen möchte.

 

Oberstes Bild: © faysal – Shutterstock.com

MEHR LESEN