SPIEGEL ONLINE

SPIEGEL ONLINE

07. März 2014, 17:00 Uhr

Angriff auf SSL

Auch verschlüsselte Verbindungen geben Privates preis

Auch wenn die Verschlüsselung nicht geknackt ist, können Überwacher aus Website-Abrufen Brisantes über Nutzer erfahren. US-Forscher haben recht genau bestimmt, über welche Krankheiten Nutzer sich auf Gesundheitsportalen informierten - über eigentlich sichere Verbindungen.

Große Internetanbieter versprechen Nutzern Schutz, wenn sie Websites über eine verschlüsselte SSL-Verbindung abrufen. Wer "https" statt "http" in die Adresszeile seines Browsers tippt, sollte sicher vor unerwünschten Zuhörern sein. Über die SSL-Verschlüsselung sollen Stellen zwischen Server und Nutzer (also zum Beispiel W-Lan-Betreiber, Internetcafés, Provider) das Lauschen unmöglich machen. Doch Informatiker der University of California Berkeley zeigen nun, dass man sich auf Datenschutz durch SSL nicht absolut verlassen kann.

Die Wissenschaftler haben untersucht, ob man aus verschlüsselten Abrufen einer Website Rückschlüsse darauf ziehen kann, welche Unterseiten ein Nutzer ansteuert. Sie haben bei ihrer Untersuchung mit im Durchschnitt 89-prozentiger Sicherheit die aufgerufenen Zielseiten innerhalb eines Angebots korrekt bestimmen können, ohne die Verschlüsselung zu knacken.

Die Forscher haben vorab zehn große Internet-Angebote analysiert, bei denen der Abruf bestimmter Unterseiten einen Rückschluss auf sehr private Interessen des Nutzers zulässt. So haben sie zum Beispiel große US-Informationsportale zu Gesundheitsfragen gescannt. Ihr Index erfasste, welche Unterseiten Ratgeber zu den Themen Abtreibung, Suizidgedanken, HIV-Infektionen und Schwangerschaft enthalten.

Die Forscher konnten durch einen Abgleich von Mustern im Datenstrom Verbindungen zwischen den verschlüsselt übertragenen Web-Adressen und den Einträgen in ihrer Datenbank herstellen. So konnte ihre Software mit hoher Trefferquote bestimmen, welche Websites verschlüsselt aufgerufen wurden.

Die Wissenschaftler sehen Missbrauchspotential bei solchen Angriffen: Firmen könnten etwa aus dem Surfverhalten von Mitarbeitern Rückschlüsse auf mögliche Erkrankungen ziehen.

lis

URL:


© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung