Angriff auf SSL Auch verschlüsselte Verbindungen geben Privates preis

Auch wenn die Verschlüsselung nicht geknackt ist, können Überwacher aus Website-Abrufen Brisantes über Nutzer erfahren. US-Forscher haben recht genau bestimmt, über welche Krankheiten Nutzer sich auf Gesundheitsportalen informierten - über eigentlich sichere Verbindungen.

Verschlüsselung: Eigentlich schützt SSL die Kommunikation von Browser und Server
Corbis

Verschlüsselung: Eigentlich schützt SSL die Kommunikation von Browser und Server


Große Internetanbieter versprechen Nutzern Schutz, wenn sie Websites über eine verschlüsselte SSL-Verbindung abrufen. Wer "https" statt "http" in die Adresszeile seines Browsers tippt, sollte sicher vor unerwünschten Zuhörern sein. Über die SSL-Verschlüsselung sollen Stellen zwischen Server und Nutzer (also zum Beispiel W-Lan-Betreiber, Internetcafés, Provider) das Lauschen unmöglich machen. Doch Informatiker der University of California Berkeley zeigen nun, dass man sich auf Datenschutz durch SSL nicht absolut verlassen kann.

Die Wissenschaftler haben untersucht, ob man aus verschlüsselten Abrufen einer Website Rückschlüsse darauf ziehen kann, welche Unterseiten ein Nutzer ansteuert. Sie haben bei ihrer Untersuchung mit im Durchschnitt 89-prozentiger Sicherheit die aufgerufenen Zielseiten innerhalb eines Angebots korrekt bestimmen können, ohne die Verschlüsselung zu knacken.

Die Forscher haben vorab zehn große Internet-Angebote analysiert, bei denen der Abruf bestimmter Unterseiten einen Rückschluss auf sehr private Interessen des Nutzers zulässt. So haben sie zum Beispiel große US-Informationsportale zu Gesundheitsfragen gescannt. Ihr Index erfasste, welche Unterseiten Ratgeber zu den Themen Abtreibung, Suizidgedanken, HIV-Infektionen und Schwangerschaft enthalten.

Die Forscher konnten durch einen Abgleich von Mustern im Datenstrom Verbindungen zwischen den verschlüsselt übertragenen Web-Adressen und den Einträgen in ihrer Datenbank herstellen. So konnte ihre Software mit hoher Trefferquote bestimmen, welche Websites verschlüsselt aufgerufen wurden.

Die Wissenschaftler sehen Missbrauchspotential bei solchen Angriffen: Firmen könnten etwa aus dem Surfverhalten von Mitarbeitern Rückschlüsse auf mögliche Erkrankungen ziehen.

Der Autor auf Facebook

lis



Forum - Diskutieren Sie über diesen Artikel
insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
DerKlabautermann 07.03.2014
1. durch die Brust ins Auge
Klar, die Firma könnte Wissenschaftler engagieren, um Wahrscheinlichkeiten aus dem Datenstrom zu errechnen. Oder auch einfach billigste Überwachungssoftware installieren... oder einfach den Kollegen fragen, was der Mitarbeiter den ganzen Tag im Netz macht. Warum einfach, wenn es kompliziert geht? Warum gibt es eigentlich noch scharfe Messer? Was damit alles passieren könnte...
DrGrey 07.03.2014
2.
Zitat von sysopAPAuch wenn die Verschlüsselung nicht geknackt ist, können Überwacher aus Website-Abrufen Brisantes über Nutzer erfahren. US-Forscher haben recht genau bestimmt, über welche Krankheiten Nutzer sich auf Gesundheitsportalen informierten - über eigentlich sichere Verbindungen. http://www.spiegel.de/netzwelt/web/angriff-auf-ssl-verschluesselte-verbindungen-geben-privates-preis-a-957466.html
Abhilfe schafft Folgendes.Per VPN zu einem Anonimizer-Verbindung aufnehmen, und dessen DNS nutzen, so schaut der lokale Provider in die Röhre und weiss nicht wohin die Reise geht.
redbayer 07.03.2014
3. Man muss es leider immer wiederholen
weder in Deutschland noch in USA kann man einfach so eine Verschlüsselung "erfinden" und dann breit als Service einsetzen. In Deutschland muss der "Schlüssel" gemeldet werden (BSI) und von dort wird er an befreundete Dienste weiter gegeben. Die schauen sich dann vor allem diese verschlüsselten Nachrichten an, denn da könnte ja etwas interessantes dabei sein. Alles andere ist pipifax ...
erational99 07.03.2014
4. NoSSL
Zur Zeit wird NoSSL entwickelt, eine Moeglichkeit fuer low-security websites etwas mehr Verschluesselung zu bieten. Unter www.nossl.net
s.p.zeidler 08.03.2014
5.
Zitat von redbayerweder in Deutschland noch in USA kann man einfach so eine Verschlüsselung "erfinden" und dann breit als Service einsetzen. In Deutschland muss der "Schlüssel" gemeldet werden (BSI) und von dort wird er an befreundete Dienste weiter gegeben. Die schauen sich dann vor allem diese verschlüsselten Nachrichten an, denn da könnte ja etwas interessantes dabei sein. Alles andere ist pipifax ...
Eine Grundbedingung für eine gute Verschlüsselung ist eine Quelle guten Zufalls, die gibt es zu kaufen, und ja, man baut sich seine Schlüssel(paare) selber und das BSi hat mit denen nicht die Bohne zu tun. Und Sie können auch ganz sicher ein Verschlüsselungsverfahren erfinden, habe ich zumindest als Schulkind gemacht. Sofern Sie nicht Kryptographie studiert haben, ist das Ergebnis allerdings wahrscheinlich eher halbgar. Gegen meine Mitschüler hat's gelangt. Eine der besten klassischen Verschlüsselungen ist übrigens recht einfach, besteht aus "man einige sich auf ein Buch, und kodiere die Nachricht in Seite-Zeile-Wort" (und immer mal wieder eine andere Seite). Sogenannte Einmal-Pads sind nicht zu knacken wenn die Anwender keine dummen Fehler machen (wie zB den Pad wiederzuverwenden). Das Problem, das SSL (und andere Internet-Verschlüsselungeverfahren) versucht zu lösen ist vertrauliche und sichere Kommunikation zwischen Parteien die sich nicht kennen. Und die Kommunikationssicherheitslücke, die hier aufgedeckt wird, hat mit dem Entschlüsseln der Nachrichten durch Unbefugt nichts zu tun, sondern damit, daß "moderne" Webseiten aus dutzend bis hunderten Dateien bestehen, die einzeln geladen werden, und sie aus dem Lade-Rythmus eines Browsertyps schließen können welche Seite(n) geladen wurden. Frei nach dem Motto: lang kurz kurz mittel kurz kurz kurz .. ah die Hauptseite mit dem Eingangsvideo; kurz mittel mittel kurz kurz kurz kurz .. ah die Seite über Diabetes.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.