LogJam Sicherheitslücke bei verschlüsselten Verbindungen - so schützen Sie sich

HTTPS-Verbindungen sind vermeintlich sicher, sie werden zum Beispiel für Online-Banking genutzt. Tatsächlich können Hacker oder Spione über eine neu entdeckte Sicherheitslücke mitlesen. Wie Sie sich schützen - die Anleitung.

Von

Netzwerkkabel: Schwere Sicherheitslücke bedroht Internetvebindungen
DPA

Netzwerkkabel: Schwere Sicherheitslücke bedroht Internetvebindungen


Experten haben eine schwerwiegende Sicherheitslücke entdeckt, die Angreifern den Zugang zu verschlüsselten und damit vermeintlich sicheren Verbindungen zu Websites verschaffen kann. Verbindungen etwa über HTTPS oder TLS/SSL, wie sie zum Beispiel beim Online-Banking oder bei einer Passworteingabe genutzt werden, sind dadurch gefährdet.

Auf der Webseite, die die Forscher zu der neuen Sicherheitslücke eingerichtet haben, ist sogar eine Demonstration im Video zu sehen. Darin fangen die Wissenschaftler live eine Interaktion mit einem Web-Formular über eine eigentlich verschlüsselte Verbindung ab - es handelt sich um eine Seite der US-Bundespolizei FBI, auf der Nutzer Hinweise auf mögliche Straftaten hinterlassen können. Im Video ist zu sehen, wie die vollständige Information, die dort testweise eingetragen wurde, abgefangen und binnen Minuten entschlüsselt wird.

Bis auf den Internet Explorer sind laut dem Forscherteam alle Browser und viele E-Mail- und Web-Server von dem Problem betroffen. Betrachtet man die erste Million der größten Websites im Internet, seien 8,4 Prozent von der Sicherheitslücke betroffen, also weit über 80.000 Websites.

Das Forscherteam erklärt in seinem Bericht, die Lücke könne es Angreifern ermöglichen, eine verschlüsselte Verbindung erheblich zu schwächen. Angriffsfläche bietet dabei das sogenannte Diffie-Hellman-Verfahren, das eine Rolle spielt, wenn ein Nutzer eine sicherere Verbindung im Netz aufbaut. Etwa beim Online-Shopping, Banking oder beim Abrufen der E-Mails. Der Schlüsseltausch geschieht dabei im Hintergrund, der Nutzer bekommt davon nichts mit.

Ein Fehler in diesem Verschlüsselungsprotokoll kann es Angreifern nun erlauben, quasi in Echtzeit auf die verschlüsselte Kommunikation zuzugreifen, ein mühsames Knacken ist gar nicht nötig. Und je mehr Rechenleistung und Geld für so einen Angriff zur Verfügung stehen, desto ausgedehnter und einfacher kann auf die geheimen Daten zugegriffen werden.

Wer sich nun die bisher veröffentlichten NSA-Dokumente genauer ansehe, heißt es in dem Fachartikel (PDF) der Forscher, könne zum Beispiel Parallelen zu den dort beschriebenen erfolgreichen Angriffen auf VPN-Verbindungen erkennen.

Was Nutzer jetzt tun müssen

Tatsächlich ist ein Knacken von Verschlüsselung sehr aufwendig, deshalb werden eher Verschlüsselungssysteme geschwächt oder bestehende Schwachstellen ausgenutzt, wie etwa bei der im März entdeckten Sicherheitslücke Freak, der die neue Schwachstelle LogJam ähnelt. Freak nämlich gab es nur, weil US-Behörden vor Jahrzehnten den amerikanischen Firmen verboten hatten, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen.

Laut den Forschern hat Microsoft im Internet Explorer die Lücke bereits geschlossen, für Firefox und Apples Safari sollten die Updates demnächst erscheinen. Ob der eigene Browser betroffen ist, können Nutzer auf der Seite des Forscherteams prüfen: Dort erscheint oben ein blauer Balken mit einer Entwarnung, wenn der Browser nicht anfällig ist, ein orangefarbener Balken mit einer Warnung, wenn der Browser betroffen ist.

Die Forscher raten Nutzern außerdem: "Stellen Sie sicher, dass Sie die neueste Version Ihres Browsers installiert haben und prüfen Sie, ob es Updates gibt." Die wichtigen Updates können bereits in den nächsten Tagen kommen und müssen dann von den Nutzern installiert werden. Auch für Systemadministratoren haben die Forscher eine detaillierte Anleitung geschrieben, damit sie sich um die Sicherheit der Server kümmern können.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 31 Beiträge
Alle Kommentare öffnen
Seite 1
Frank Zi. 20.05.2015
1.
Unsichere und Verdächtige Ssl/Tls Verfahren im Browser zu deaktivieren ist doch das zweite, was man nach einer Browser Installation macht, gleich nach dem Werbeblocker installieren.
hschmitter 20.05.2015
2.
Ein wirklich genialer Tip der wie üblich nicht näher bezeichneten Experten (danke dafür, daß ich erst einem Link folgen muß, um herauszufinden, welche Forschergruppe hier gemeint ist) - neueste Software installieren - das dürfte inzwischen der unbedarfteste Internetnutzer zumindest schon gehört haben.
Zorpheus 20.05.2015
3. Ist irgend etwas wichtiges betroffen?
Damit der Angriff funktioniert muss die Website auch das unsichere Verschlüsselungsverfahren anbieten. Das dürfte doch keine wichtigen Seiten, wie die von Banken betreffen, oder? Ich fand es jedenfalls nervig, als beim Firefox das letzte Mal beim Update ein unsicheres Verschlüsselungsverfahren gelöscht wurde. Das Ergebnis war, dass ich eine Seite nicht mehr aufrufen konnte, die zwar wichtig für mich war, bei der es aber nur um die Verschlüsselung von Name und Anschrift ging. Ich musste die Seite dann in meiner älteren Internet Explorer-Installation öffnen. Hoffentlich beseitigt man das Problem nicht wieder auf diese Art. Warnungen sind angebracht, Seiten unzugänglich machen ist es nicht.
99luftballons 20.05.2015
4. Ah ja, Fehler im Protokoll, alles klar.
Und -Bis auf den Internet Explorer- sind alle betroffen? Das ist mit Sicherheit kein Fehler gewesen, bei der Programmierung. Und das ein rein amerikanisches Produkt das einzig sichere sein soll, finde ich schon 'fast' ironisch!
hansgustor 20.05.2015
5. @Zorpheus
Das Entfernen alter Verschlüsselungsmethoden ist die einzige Möglichkeit gegen die FREAK Sicherheitslücke.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.