Verschlüsselte Verbindungen dienen dem Zweck, Informationen schwerer "mitlesbar" zu machen. Damit Dritte Ihre Verbindungen sehen können, genügt es, wenn sie sich im selben WLAN-Netzwerk befinden.

Ohne Verschlüsselung lassen sich dann zum Beispiel Ihre Google-Suchen nach Medikamenten, Hotel-Buchungen oder Chat-Nachrichten nachvollziehen. Mit Verschlüsselung bekommen Angreifer*innen nur unleserlichen Zeichensalat zu sehen.

Browser: das kleine Schloss

In Browsern sind verschlüsselte Verbindungen inzwischen fast immer Standard. Das kleine Schloss in der Adresszeile zeigt an, dass die Verbindung abgesichert ist. Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für Transport Layer Security.

Damit der Browser eine verschlüsselte Verbindung nutzen kann, muss der Anbieter der aufgerufenen Webseite selbst eine sichere Verbindung anbieten. Dass die Verbindung zu einer Webseite verschlüsselt ist, erkennt man an dem „https://“ in der Adresszeile. Die meisten Browser nutzen inzwischen automatisch die https-Verbindung und geben eine Warnung aus, wenn eine Webseite keine verschlüsselte Verbindung - also nur http - anbietet.

Zertifikate und Angriffe

Wer mit einem Schloss in der Adresszeile surft, ist besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer*innen und Anbieter. Dem oder der Nutzer*in gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer*in. Keine Seite bemerkt, dass die Kommunikation umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Bevor eine verschlüsselte Verbindung zwischen Nutzer*in und Anbieter aufgebaut wird, prüft das Gerät, ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig erwiesen.

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1.500 Zertifizierungsstellen mit unterschiedlichen Sicherheitsstandards und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den vergangenen Jahren immer wieder falsche Zertifikate im Umlauf.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikats-Pinning (englisch: certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um dasselbe Zertifikat handelt wie bei der ersten Verbindung.

App-Verschlüsselung: Was können Nutzer*innen tun?

Auf Mobilgeräten können Sie nur im Browser, bei Messengern und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps gehen ins Internet und oft werden dabei sensible Daten übertragen. Leider können Nutzer*innen bei den meisten Apps nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob die Echtheit der Verbindung überprüft wird.

In unseren App-Tests auf mobilsicher.de und bei unserem Projekt prüfen wir Apps daher auch darauf, ob sie Transportverschlüsselung und Zertifikate-Pinning mitbringen.