Sichere Kommunikation im unsicheren Internet: Darf ich Homebanking?

„Datenschutz“ – das klingt nach Spaßbremse und Rückwärtsgewandtheit. Vom „Ende der Privatsphäre“ schreibt das Feuilleton in seiner ganzen Vielfalt von FAZ bis JW. „Privatsphäre ist ein Ding von gestern, das keinen mehr interessiert“ glaubt Facebook-/Whatsapp-Boss Mark Zuckerberg. Seine Behauptung ist Fundament seiner Aktienmilliarden. Das ist genauso offensichtlich wie die Tatsache, dass Zuckerberg irrt. Spätestens beim Geld hört der Spaß mit dem digitalen Voyeurismus nämlich recht schnell auf.

Oder wissen Sie, was ihr Nachbar verdient? Und Sie lassen ihn auch digital über ihre Schulter schauen beim Bezahlen mit Bitcoins oder ihrem NFC-Gerät? Aber allerspätestens beim Thema Industriespionage ist dann wirklich Schluss mit Lustig: Schon vor 20 Jahren entging dem europäischen Airbus-Konzern ein Großauftrag in Richtung US-Konkurrenz, weil die NSA Telefonate und Faxverbindungen belauscht hatte. Und heute?Snowden im NDR „Wenn es etwa bei Siemens Informationen gibt, die dem nationalen Interesse der Vereinigten Staaten nutzen – aber nichts mit der nationalen Sicherheit zu tun haben – dann nehmen sie sich diese Informationen trotzdem“, sagt der NSA-Insider Snowden am 25.1. dieses Jahres gegenüber dem NDR. Was also tun, damit Firmengeheimnisse, private Kontodaten oder Mailkommunikation dort bleiben, wo sie der Nutzer gern haben möchte? „Ende-zu-Ende-Verschlüsselung“ lautet die Antwort, der sofort die nächste Frage folgt: Wie sicher ist Verschlüsselung?

Hausaufgaben machen

Sichere Kommunikation ist nur so sicher wie das unsicherste Glied der Kette. Weshalb wir an dieser Stelle nicht umhinkommen, mit ein wenig erhobenem Zeigefinger zu fragen: Arbeiten Sie noch mit Windows XP? Und surfen mit ihrem Computer seit Jahren im Internet, stets angemeldet als „Admin“? Dann gehen Sie zurück auf „Los“, oder etwas technischer: Das unsicherste Glied ihrer Homebanking-Kette steht direkt vor Ihnen. Gegenüber dem Admin-Account haben Viren das denkbar leichteste Spiel. Tipp für diejenigen, die auf ihre geliebten XP-Gepflogenheiten partout nicht verzichten wollen: Installieren Sie sich parallel zu Ihrem XP ein weiteres Betriebssystem, zum Beispiel ein Linux, das es immer wieder als DVD-Beilage zu Computerzeitschriften gibt. Wenn Sie zukünftig Sicherheit brauchen, fahren Sie Ihren Rechner mit der neuen Parallelinstallation hoch. Und für Pedanten: Bankix ist ein Instant-Linux auf CD. Das ist das Maximum an Sicherheit mit Ihrem Rechner.

Welcher Internet-Browser?

Die Frage steht für Viele sehr weit im Vordergrund, allerdings ist davon auszugehen, dass jeder aktuell gehaltene Browser zunächst korrekt arbeitet. Vorsicht allerdings: Wer wahllos Plug-Ins installiert und aktiviert, handelt sich unkalkulierbare Risiken ein. Unter Sicherheitsgesichtspunkten verhalten sich Plug-Ins wie Zusatzsoftware. Tipp: Richten Sie auf dem Computer-Betriebssystem-Gespann Ihrer Wahl einen weiteren normalen Nutzer ein. Als dieser Nutzer wickeln Sie Ihre Bank-Angelegenheiten ab, Ihr Firefox verfügt hier über keine Plug-Ins.

Besser als zugeklebte Briefumschläge

Big brother is watching youAbsolute Sicherheit können Sie unter normalen Alltagsbedingungen nirgends erreichen: Die Einrichtungen des Bundesamtes für Verfassungsschutz hören Millionen ganz normaler Telefonate ab, gewöhnliche Kriminelle brechen in Wohnungen ein. Demgegenüber ist die Verbindung zu Ihrer Bank, Ihrem Mailprovider oder auch einer Suchmaschine denkbar diskret: Das Übertragungsprotokoll https verschlüsselt Ihre Daten derart sicher, dass auch Profis unterwegs praktisch keine Chance haben, ihre Kommunikation zu belauschen. Das zum Aufbau der Sitzung verwendete asymmetrische Verschlüsselungsverfahren erzeugt Schlüsselpaare zwischen Browser und Webserver, die hierbei zum Einsatz kommende Technik gilt als ausgesprochen zuverlässig und sicher. Das Grundprinzip: Der Absender (hier: der Browser) verschlüsselt stets mit dem öffentlich verteilten Schlüssel des Adressaten (hier: des Webservers); nur der Adressat kann aber entschlüsseln, weil nur er im Besitz des privaten Schlüssels ist. Bei der asymmetrischen Verschlüsselung führt somit nur die Kombination aus öffentlichem plus privatem Schlüssel zur erfolgreichen Kommunikation, aus dem öffentlich verfügbaren Schlüssel kann der private praktisch nicht errechnet werden. Der dem zu Grunde liegende mathematische Kniff ist die Primfaktorzerlegung: Während es sehr einfach ist, die Multiplikation 5x7x11x19x31 durchzuführen, ist es um ein Vielfaches aufwändiger, aus dem Ergebnis 226765 wieder die zu Grunde liegenden Primzahlen zu ermitteln. Bei heute üblichen Schlüssel-Längen von 4096 Bit kann mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgegangen werden, dass während der Dauer einer Homebanking-Sitzung die Verbindung nicht entschlüsselt werden kann.

Praxis

Im Alltag achten Sie nur auf das Protokoll-Kürzel „https“ und ein kleines Vorhängeschloss-Symbol, durchweg beides in der Adresszeile Ihres Browsers: Technisch gesehen schaltet sich dabei die Verschlüsselungstechnik SSL zwischen Transportschicht (TCP) und Anwendungsschicht (HTTP). Der Webserver wird diesen Dienst über Port 443 anbieten.

httpsSollte Ihr Browser wegen eines „nicht vertrauenswürdigen Zertifikats“ Warnungen anzeigen, müssen Sie Verdacht schöpfen: Zertifikate weisen zuverlässig nach, dass Sie auch tatsächlich mit Ihrer Bank verbunden sind und Ihre Verbindung nicht etwa entführt worden ist. Zertifikate schaffen somit Authentizität. Sie sind zwar durchweg kostenpflichtig, aber keine Bank wird jemals auf die Installation solcher Zertifikate auf dem Webserver verzichten.
Zertifikate werden von offiziell registrierten und jedem modernen Browser bekannten Zertifizierungsstellen herausgegeben, jeweils individuell für einen Server bzw. eine Internet-Domain. Die individuellen Zertifikate werden von aktuellen Browsern automatisch akzeptiert. Übliche Überprüfungen bei der Ausstellung günstiger Zertifikate sind die Erreichbarkeit des Server-Administrators der Domain per Telefon oder Mail, erweiterte Prüfungen erfolgen durch Verifizierung der Postadresse oder sogar – im professionellen Bereich – der Zeichnungsberechtigung der Antragssteller.

Der letzte Schrei – jetzt vielleicht auch für Sie?

Zurück zum Verbindungsaufbau mit https: Die rechenaufwändige asymmetrische Verschlüsselungstechnik kommt nur zu Beginn zum Einsatz, um die Verbindung erstmalig aufzubauen und eine Gelegenheit zu schaffen, die Schlüssel für Schritt zwei auszutauschen: Ab jetzt werden für die eigentliche Übertragung der Webseiten traditionelle symmetrische Verfahren wie AES eingesetzt.
Was aber, wenn große Rechenzentren (die NSA praktiziert das) die komplette Kommunikation mitschneiden, sie archivieren und darauf hoffen, irgendwann in Zukunft an die geheimen Schlüssel und damit auch die Möglichkeit zu gelangen, die übertragenen Inhalte zu dechiffrieren? Serverbetreiber, die Wert auf Sicherheit legen bringen seit Jahren die Technik „Perfect Forward Secrecy“ auf der Grundlage des mathematischen „Diffie-Hellman-Problems“ zum Einsatz, „die Großen“ ziehen mittlerweile nach. Vereinfacht gesagt würfeln hierbei beide Kommunikationspartner Zufallswerte, senden sie sich gegenseitig zu und erzeugen hieraus sowie aus ihren jeweils nur lokal vorhandenen geheimen Zahlen einen gemeinsamen Schlüssel. Zum Ende der Kommunikation werden sämtliche Werte einschließlich der jeweils lokal vorhandenen Schlüssel gelöscht. Ohne letztere ist auch ein späteres Entschlüsseln praktisch unmöglich. Ob ein Serverbetreiber im Rahmen seines https-Einsatzes das Schlüsselaustauschverfahren „Perfect Forward Secrecy“ einsetzt, lässt sich durch Klick auf die Verbindungsdetails feststellen: Lässt sich hier die Abkürzung DHE (Diffie-Hellman ephemeral [flüchtig]) finden, läuft der Server nach dem geschilderten aktuellen Stand der Technik.

Wie sicher?

Die bei SSL eingesetzten Techniken gelten auf Grund ihrer mathematischen Grundlage als definitiv sicher, ihre Zuverlässigkeit wird immer wieder durch Krypto-Wettbewerbe überprüft. Schwachstellen können allerdings auftreten, wenn Programmierer die theoretisch sicheren mathematischen Algorithmen fehlerhaft umsetzen. Solche Fehler treten immer wieder auf, sowohl bei proprietärer als auch bei Open-Source-Software. Die Herausforderung für die Entwickler besteht darin, solche Fehler aufzuspüren, bevor sie von interessierter Seite zu Einbrüchen missbraucht werden können.

Der Chaos Computer Club (CCC) ist ein deutscher Verein, in dem sich Hacker zusammengeschlossen haben. Die Informationsgesellschaft – so der CCC – erfordere „ein neues Menschenrecht auf weltweite, ungehinderte Kommunikation“, weshalb der Club sich „grenzüberschreitend für Informationsfreiheit einsetzt und mit den Auswirkungen von Technologien auf die Gesellschaft sowie das einzelne Lebewesen beschäftigt“. (Wikipedia 26.2.2014)

Darüberhinaus sind Angriffe auf Zertifizierungsstellen denkbar: Bei einem Kongress des Chaos Computer Club im Jahr 2008 wurde gezeigt, wie aus einem leistungsfähigen Verbund von 200 Playstation-Konsolen auf den veralteten MD5-Algorithmus Zertifikate erschlichen werden konnten. Der Hack war für die Zertifizierungsstellen um so peinlicher, als die MD5-Schwachstelle bereits seit Jahren bekannt war.

Vorteil Open Source?

Fehler passieren immer wieder – ob ein Produkt aus einem der großen Software-Häuser stammt oder aus der Open-Source-Community. Auf den grundsätzlichen Unterschied zwischen offener und Closed Source Software weist allerdings das Bundesamt für Sicherheit in der Informationstechnologie hin: „Die Prüfung von Software auf Sicherheitslücken sollte immer möglich sein. Beim Einsatz von Software kann dies ein K.O.-Kriterium sein. Es steht Vertrauen versus Wissen.“ Baut der Windows Media Player beim Abspielen einer MP3-Datei Verbindungen zu microsoft.com oder amazon.com auf? Manches lässt sich durch Beobachten des Datenverkehrs ermitteln. Doch was tun, wenn der Verbindungsaufbau per SSL erfolgt? Plaudert mein Windows munter mit der NSA? Paranoia, Verschwörungstheorien, Panikmache? Einem sauberen Windows können wir vertrauen, in einen Linux-Kernel können kritische Zeitgenossen hineinschauen. Von wem stammt nochmal das Zitat „Vertrauen ist gut, Kontrolle ist besser?“ Fragen Sie doch eine Suchmaschine – aber sicher per https.

Kommentare sind geschlossen.