Hintergrund

Wie sicher sind Internetverbindungen von Apps?

Foto: Christoph Löffler, CC by 2.0

Wer über Smartphone oder Tablet im Internet surft, möchte sich keine Gedanken darüber machen, ob der Tischnachbar im Café gerade die Suchanfragen mitliest. Das geht nur, wenn die Apps ihre Verbindungen ins Internet verschlüsseln.

Veröffentlicht am
Autor
Schlagworte
Certificate Authority · HTTPS · Man in the Middle · PGP · SSL · TLS · Zertifikate · Zertifizierungsstelle
Drucken

Verschlüsselte Verbindungen sind im Internet noch kein Standard – obwohl es dafür gute Gründe gäbe. Wer will schon, dass jeder beliebige Mensch, der sich im gleichen Netzwerk aufhält, die eigenen Online-Aktivitäten nachvollziehen kann? Zum Beispiel die Google-Suchen nach Krankheiten, den Traumreisezielen, Bahnticket-Buchungen oder WhatsApp-Chats?

Wer findet, dass diese Informationen niemanden etwas angehen, der ist auf verschlüsselte Verbindungen angewiesen. So wird nicht nur das Surfen im Internet mit dem Webbrowser sicherer, sondern auch auch E-Mail-Programme, Chat-Programme und andere Apps, die Kontakt zu Servern aufnehmen.

Browser: das kleine grüne Schloss

Durch Online-Banking über den Webbrowser sind viele Verbraucher mit verschlüsselten Verbindungen bereits vertraut: das kleine grüne Schloss in der Internetadresszeile zeigt an, dass die Verbindung zur Bank abgesichert ist und dass es sich auch wirklich um die Hausbank und keine Fälschung handelt.

Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für den englischen Begriff „Transport Layer Security“.

Bei vielen Webseiten gibt es inzwischen zwar die Möglichkeit, eine solche Verbindung zu nutzen, sie ist aber nicht standardmäßig aktiv. Nur wer „https://“ in die Adresszeile des Webbrowser eintippt, landet auf der sicheren Seite.

Was beim Computer schon aufwendig ist, ist im Smartphone unzumutbar. Kaum ein Nutzer wird bei jeder Suchanfrage extra https://google.com eintippen, um dort seine Suchanfrage zu stellen. Um diese Möglichkeit dennoch wahrzunehmen, helfen bei manchen Webbrowsern, wie beispielsweise Firefox, Erweiterungen weiter.

Der Angreifer in der Mitte

Wer mit einem Schloss in der Internetadresszeile surft, ist auf jeden Fall besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer und Anbieter. Dem Nutzer gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer. Weder der Anbieter noch Nutzer bemerken, dass ihre Kommunikation über einen Dritten umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Denn bevor eine verschlüsselte Verbindung zwischen Nutzer und Anbieter aufgebaut wird, prüft das Endgerät ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig herausgestellt.

 

Gefälschte Zertifikate

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1500 Zertifizierungsstellen (englisch: Certificate Authority oder auch CA-Authority) mit ganz unterschiedlichen Sicherheitsstandards – und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer dann gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös, und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den letzten Jahren falsche Zertifikate immer wieder im Umlauf. Auch Google war einmal davon betroffen.

Vor allem aber ist das bisherige Zertifizierungsverfahren aufwendig und bürokratisch. Es ist nicht geeignet, sich als Standard für verschlüsselte Verbindungen zu etablieren. Darum findet ein Großteil des Internetverkehrs heute immernoch unverschlüsselt statt.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikatspinning (englisch certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um das gleiche Zertifikat handelt, wie bei der ersten Verbindung.

Das Internet verschlüsseln

Die Initiative „Let’s encrypt“ will verschlüsselte Verbindungen als Standard in der Online-Kommunikation etablieren. Ziel ist, das teure und technisch aufwendige Zertifizierungssystem durch einen automatisierten und kostenlosen Prozess ersetzen. Das Projekt startete im Dezember 2015 und befindet sich aktuell im Aufbau.

Große Dienstanbieter wie Mozilla sind dieser Initiative bereits beigetreten, was Verbraucherschutzorganisationen hoffnungsvoll stimmt. Denn sollte diese Initiative Erfolg haben, würde sich die Sicherheit der Nutzer im Internet wesentlich verbessern.

Smartphone und Tablet: Was können Nutzer tun?

Nutzer von Smartphones und Tablets können lediglich im Browser und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps nutzen eine Internetverbindung. Oft werden dabei sensible Daten übertragen. Sie sollten daher ebenfalls verschlüsselt kommunizieren. Allerdings können bei herkömmlichen Apps die Nutzer nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob das Zertifikatspinning eingesetzt wird.

Ob das der Fall ist, kann nur durch unabhängige Gutachter oder Selbstauskunft des Anbieters geklärt werden. Darum lohnt es sich, vor dem Installieren einer App nach Testberichten oder Bewertungen zu suchen, die diese Information möglicherweise bereitstellen. In unseren App-Rezensionen prüfen wir ausgewählte Apps daher auch darauf, ob TLS und Zertifikat-Pinning eingesetzt werden.

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!