Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016, bearbeitet am19.10.2020

Damit sie sicher mit dem Smartphone im Internet surfen können, sollte der Datenverkehr für Dritte unlesbar sein. Ob Apps verschlüsselt kommunizieren, lässt sich von außen leider nicht immer überprüfen. Es gibt aber einige Punkte, auf die Sie achten können.

Verschlüsselte Verbindungen dienen dem Zweck, Informationen schwerer "mitlesbar" zu machen. Damit Dritte Ihre Verbindungen sehen können, genügt es, wenn sie sich im selben WLAN-Netzwerk befinden.

Ohne Verschlüsselung lassen sich dann zum Beispiel Ihre Google-Suchen nach Medikamenten, Hotel-Buchungen oder Chat-Nachrichten nachvollziehen. Mit Verschlüsselung bekommen Angreifer*innen nur unleserlichen Zeichensalat zu sehen.

Browser: das kleine Schloss

In Browsern sind verschlüsselte Verbindungen inzwischen fast immer Standard. Das kleine Schloss in der Adresszeile zeigt an, dass die Verbindung abgesichert ist. Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für Transport Layer Security.

Damit der Browser eine verschlüsselte Verbindung nutzen kann, muss der Anbieter der aufgerufenen Webseite selbst eine sichere Verbindung anbieten. Dass die Verbindung zu einer Webseite verschlüsselt ist, erkennt man an dem „https://“ in der Adresszeile. Die meisten Browser nutzen inzwischen automatisch die https-Verbindung und geben eine Warnung aus, wenn eine Webseite keine verschlüsselte Verbindung - also nur http - anbietet.

Wie TLS funktioniert, erklären wir hier: TLS/SSL: Fragen und Antworten.

Zertifikate und Angriffe

Wer mit einem Schloss in der Adresszeile surft, ist besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer*innen und Anbieter. Dem oder der Nutzer*in gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer*in. Keine Seite bemerkt, dass die Kommunikation umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Bevor eine verschlüsselte Verbindung zwischen Nutzer*in und Anbieter aufgebaut wird, prüft das Gerät, ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig erwiesen.

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1.500 Zertifizierungsstellen mit unterschiedlichen Sicherheitsstandards und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den vergangenen Jahren immer wieder falsche Zertifikate im Umlauf.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikats-Pinning (englisch: certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um dasselbe Zertifikat handelt wie bei der ersten Verbindung.

App-Verschlüsselung: Was können Nutzer*innen tun?

Auf Mobilgeräten können Sie nur im Browser, bei Messengern und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps gehen ins Internet und oft werden dabei sensible Daten übertragen. Leider können Nutzer*innen bei den meisten Apps nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob die Echtheit der Verbindung überprüft wird.

In unseren App-Tests auf mobilsicher.de und bei unserem Projekt prüfen wir Apps daher auch darauf, ob sie Transportverschlüsselung und Zertifikate-Pinning mitbringen.

Weitere Artikel

YouTube-Video 

Apps gecheckt: E-Scooter-Apps

Anbieter von E-Scootern wissen viel über ihre Nutzer*innen. Passen die Firmen gut auf diese wichtigen Daten auf? Oder geben sie sie an andere weiter? Wir haben die Apps von Lime, Tier, Bird, Voi und Bolt analysiert. Natürlich mussten wir dazu Roller fahren. Alles für die Wissenschaft!

Ansehen
YouTube-Video 

E-Mails auf dem Handy: E-Mail-Dienste

Wer beim Thema E-Mails wirklich auf Datenschutz setzen möchte, braucht nicht nur einen sicheren E-Mail-Client. Genauso wichtig ist der E-Mail-Dienst, von dem Sie Ihre E-Mail-Adresse bekommen. Welche Dienste wir empfehlen und was diese außer Datenschutz noch so können, erfahren Sie im Video.

Ansehen
Ratgeber 

Coronavirus und Handy-Überwachung: Risiken und Nebenwirkungen

Viele Länder nutzen im Kampf gegen die Corona-Epidemie Handydaten, um Infizierte zu überwachen und Kontaktpersonen zu ermitteln. Auch in Deutschland wird der Ruf nach solchen Methoden lauter. Zeit, sich die Vorreiter näher anzusehen – samt Risiken und Nebenwirkungen.

Mehr
Ratgeber 

Anleitung: Handydaten sichern mit der App „Sichere Dein Handy – Backup“

Die App erlaubt ein partielles Backup für Daten von Android-Handys. Sichern können Sie damit Ihre SMS, Kontakte, Anruflisten und den Kalender. Hier erklären wir Schritt für Schritt, wie die App funktioniert.

Mehr