Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016, bearbeitet am19.10.2020

Damit sie sicher mit dem Smartphone im Internet surfen können, sollte der Datenverkehr für Dritte unlesbar sein. Ob Apps verschlüsselt kommunizieren, lässt sich von außen leider nicht immer überprüfen. Es gibt aber einige Punkte, auf die Sie achten können.

Verschlüsselte Verbindungen dienen dem Zweck, Informationen schwerer "mitlesbar" zu machen. Damit Dritte Ihre Verbindungen sehen können, genügt es, wenn sie sich im selben WLAN-Netzwerk befinden.

Ohne Verschlüsselung lassen sich dann zum Beispiel Ihre Google-Suchen nach Medikamenten, Hotel-Buchungen oder Chat-Nachrichten nachvollziehen. Mit Verschlüsselung bekommen Angreifer*innen nur unleserlichen Zeichensalat zu sehen.

Browser: das kleine Schloss

In Browsern sind verschlüsselte Verbindungen inzwischen fast immer Standard. Das kleine Schloss in der Adresszeile zeigt an, dass die Verbindung abgesichert ist. Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für Transport Layer Security.

Damit der Browser eine verschlüsselte Verbindung nutzen kann, muss der Anbieter der aufgerufenen Webseite selbst eine sichere Verbindung anbieten. Dass die Verbindung zu einer Webseite verschlüsselt ist, erkennt man an dem „https://“ in der Adresszeile. Die meisten Browser nutzen inzwischen automatisch die https-Verbindung und geben eine Warnung aus, wenn eine Webseite keine verschlüsselte Verbindung - also nur http - anbietet.

Wie TLS funktioniert, erklären wir hier: TLS/SSL: Fragen und Antworten.

Zertifikate und Angriffe

Wer mit einem Schloss in der Adresszeile surft, ist besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer*innen und Anbieter. Dem oder der Nutzer*in gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer*in. Keine Seite bemerkt, dass die Kommunikation umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Bevor eine verschlüsselte Verbindung zwischen Nutzer*in und Anbieter aufgebaut wird, prüft das Gerät, ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig erwiesen.

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1.500 Zertifizierungsstellen mit unterschiedlichen Sicherheitsstandards und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den vergangenen Jahren immer wieder falsche Zertifikate im Umlauf.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikats-Pinning (englisch: certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um dasselbe Zertifikat handelt wie bei der ersten Verbindung.

App-Verschlüsselung: Was können Nutzer*innen tun?

Auf Mobilgeräten können Sie nur im Browser, bei Messengern und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps gehen ins Internet und oft werden dabei sensible Daten übertragen. Leider können Nutzer*innen bei den meisten Apps nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob die Echtheit der Verbindung überprüft wird.

In unseren App-Tests auf mobilsicher.de und bei unserem Projekt prüfen wir Apps daher auch darauf, ob sie Transportverschlüsselung und Zertifikate-Pinning mitbringen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Körper und Gesundheit 

Coronavirus und Handy-Überwachung: Risiken und Nebenwirkungen

Viele Länder nutzen im Kampf gegen die Corona-Epidemie Handydaten, um Infizierte zu überwachen und Kontaktpersonen zu ermitteln. Auch in Deutschland wird der Ruf nach solchen Methoden lauter. Zeit, sich die Vorreiter näher anzusehen – samt Risiken und Nebenwirkungen.

Mehr
YouTube-Video 

Android 8 (Oreo): Update-Problem gelöst

Bei Android 8 (Oreo) hat Anbieter Google sich auf Verbesserungen bei Sicherheit und Datenschutz konzentriert. Die neue Version löst damit auch endlich ein altes Android-Problem: Updates des Betriebssystems sind jetzt einfacher möglich. Warum es erst jetzt soweit war, erfahren Sie im Video.

Ansehen
YouTube-Video 

So installieren Sie den App-Store F-Droid

F-Droid ist der alternative App-Store für Android-Apps. Betrieben wird er von ehrenamtlichen Entwickler*innen, denen Datenschutz am Herzen liegt. Wie Sie F-Droid installieren und nutzen, erfahren Sie im Video.

Ansehen
YouTube-Video 

Diese Stimmgeräte-App empfehlen wir (Android)

Android-Nutzer, die ihr Musikinstrument mit einer App stimmen möchten, werden im Google PlayStore mit einer ermüdend langen Liste an Apps konfrontiert. Wir haben Ihnen die Arbeit abgenommen und stellen in diesem Video die App "Stimmgerät Instrument Tuner" vor. Sie funktioniert nicht nur hervorragend, sondern ist auch tracking- und werbefrei.

Ansehen