Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016, bearbeitet am19.10.2020

Damit sie sicher mit dem Smartphone im Internet surfen können, sollte der Datenverkehr für Dritte unlesbar sein. Ob Apps verschlüsselt kommunizieren, lässt sich von außen leider nicht immer überprüfen. Es gibt aber einige Punkte, auf die Sie achten können.

Verschlüsselte Verbindungen dienen dem Zweck, Informationen schwerer "mitlesbar" zu machen. Damit Dritte Ihre Verbindungen sehen können, genügt es, wenn sie sich im selben WLAN-Netzwerk befinden.

Ohne Verschlüsselung lassen sich dann zum Beispiel Ihre Google-Suchen nach Medikamenten, Hotel-Buchungen oder Chat-Nachrichten nachvollziehen. Mit Verschlüsselung bekommen Angreifer*innen nur unleserlichen Zeichensalat zu sehen.

Browser: das kleine Schloss

In Browsern sind verschlüsselte Verbindungen inzwischen fast immer Standard. Das kleine Schloss in der Adresszeile zeigt an, dass die Verbindung abgesichert ist. Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für Transport Layer Security.

Damit der Browser eine verschlüsselte Verbindung nutzen kann, muss der Anbieter der aufgerufenen Webseite selbst eine sichere Verbindung anbieten. Dass die Verbindung zu einer Webseite verschlüsselt ist, erkennt man an dem „https://“ in der Adresszeile. Die meisten Browser nutzen inzwischen automatisch die https-Verbindung und geben eine Warnung aus, wenn eine Webseite keine verschlüsselte Verbindung - also nur http - anbietet.

Wie TLS funktioniert, erklären wir hier: TLS/SSL: Fragen und Antworten.

Zertifikate und Angriffe

Wer mit einem Schloss in der Adresszeile surft, ist besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer*innen und Anbieter. Dem oder der Nutzer*in gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer*in. Keine Seite bemerkt, dass die Kommunikation umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Bevor eine verschlüsselte Verbindung zwischen Nutzer*in und Anbieter aufgebaut wird, prüft das Gerät, ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig erwiesen.

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1.500 Zertifizierungsstellen mit unterschiedlichen Sicherheitsstandards und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den vergangenen Jahren immer wieder falsche Zertifikate immer wieder im Umlauf.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikats-Pinning (englisch: certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um dasselbe Zertifikat handelt wie bei der ersten Verbindung.

App-Verschlüsselung: Was können Nutzer*innen tun?

Auf Mobilgeräten können Sie nur im Browser, bei Messengern und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps gehen ins Internet und oft werden dabei sensible Daten übertragen. Leider können Nutzer*innen bei den meisten Apps nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob die Echtheit der Verbindung überprüft wird.

In unseren App-Tests auf mobilsicher.de und bei unserem Projekt prüfen wir Apps daher auch darauf, ob sie Transportverschlüsselung und Zertifikate-Pinning mitbringen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

YouTube-Video 

Firefox-App auf Android einstellen: So geht’s

Sie haben keine Lust mehr, von Googles Browser Chrome getrackt zu werden? Dann wechseln Sie am besten zu Mozillas datensparsamer Alternative Firefox. Im Video führen wir Schritt für Schritt durch die Einstellungen.

Ansehen
Banking und Bezahlen 

Apple Pay: Wie sicher ist der Bezahldienst fürs iPhone?

Zum Bezahlen an der Kasse das iPhone ans Lesegerät halten – das geht in Deutschland seit 2018. Auch in Apps kann man mit Apple Pay bezahlen. Wie sicher ist die Technik? Und was passiert mit den Daten? Unser Überblick zu Apples Bezahldienst.

Mehr
Kinder und Jugendliche 

Musical.ly: Unheimliche Parallelwelt im Kinderzimmer

Das soziale Netzwerk musical.ly beflügelt bei Kindern und Jugendlichen den Traum, selbst ein Popstar zu sein. Aber ist die Plattform zum Teilen selbstgedrehter Musikvideos harmlos? Ein Leserinnenhinweis führte uns in eine erschreckende Welt voll offener sexueller Nötigung von Mädchen.

Mehr
Ratgeber 

Apps des Jahres – die 50 Besten aus 2020

Video-Konferenzen, Cloud-basiertes Arbeiten, Fernunterricht - 2020 war das Jahr des Homeoffice. In unserer Bestenliste finden Sie aber auch Apps, die Sie an die frische Luft bringen oder den ganz normalen Alltag erleichtern. Wie alle unsere Empfehlungen sind sie freundlich zu Ihren Daten.

Mehr