Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016

Wer über Smartphone oder Tablet im Internet surft, möchte sich keine Gedanken darüber machen, ob der Tischnachbar im Café gerade die Suchanfragen mitliest. Das geht nur, wenn die Apps ihre Verbindungen ins Internet verschlüsseln.

Verschlüsselte Verbindungen sind im Internet noch kein Standard – obwohl es dafür gute Gründe gäbe. Wer will schon, dass jeder beliebige Mensch, der sich im gleichen Netzwerk aufhält, die eigenen Online-Aktivitäten nachvollziehen kann? Zum Beispiel die Google-Suchen nach Krankheiten, den Traumreisezielen, Bahnticket-Buchungen oder WhatsApp-Chats?

Wer findet, dass diese Informationen niemanden etwas angehen, der ist auf verschlüsselte Verbindungen angewiesen. So wird nicht nur das Surfen im Internet mit dem Webbrowser sicherer, sondern auch auch E-Mail-Programme, Chat-Programme und andere Apps, die Kontakt zu Servern aufnehmen.

Browser: das kleine grüne Schloss

Durch Online-Banking über den Webbrowser sind viele Verbraucher mit verschlüsselten Verbindungen bereits vertraut: das kleine grüne Schloss in der Internetadresszeile zeigt an, dass die Verbindung zur Bank abgesichert ist und dass es sich auch wirklich um die Hausbank und keine Fälschung handelt.

Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für den englischen Begriff "Transport Layer Security".

Wie TLS genau funktioniert, erklären wir in unserem Beitrag TLS/SSL: Fragen und Antworten

Bei vielen Webseiten gibt es inzwischen zwar die Möglichkeit, eine solche Verbindung zu nutzen, sie ist aber nicht standardmäßig aktiv. Nur wer „https://“ in die Adresszeile des Webbrowser eintippt, landet auf der sicheren Seite.

Was beim Computer schon aufwendig ist, ist im Smartphone unzumutbar. Kaum ein Nutzer wird bei jeder Suchanfrage extra https://google.com eintippen, um dort seine Suchanfrage zu stellen. Um diese Möglichkeit dennoch wahrzunehmen, helfen bei manchen Webbrowsern, wie beispielsweise Firefox, Erweiterungen weiter.

Der Ratgeber Add-ons für Firefox (Android) beschreibt, welche Erweiterungen für Datenschutzfreunde zu empfehlen sind. 

Der Angreifer in der Mitte

Wer mit einem Schloss in der Internetadresszeile surft, ist auf jeden Fall besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer und Anbieter. Dem Nutzer gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer. Weder der Anbieter noch Nutzer bemerken, dass ihre Kommunikation über einen Dritten umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Denn bevor eine verschlüsselte Verbindung zwischen Nutzer und Anbieter aufgebaut wird, prüft das Endgerät ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig herausgestellt.

 

Gefälschte Zertifikate

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1500 Zertifizierungsstellen (englisch: Certificate Authority oder auch CA-Authority) mit ganz unterschiedlichen Sicherheitsstandards – und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer dann gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös, und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den letzten Jahren falsche Zertifikate immer wieder im Umlauf. Auch Google war einmal davon betroffen.

Vor allem aber ist das bisherige Zertifizierungsverfahren aufwendig und bürokratisch. Es ist nicht geeignet, sich als Standard für verschlüsselte Verbindungen zu etablieren. Darum findet ein Großteil des Internetverkehrs heute immernoch unverschlüsselt statt.

Mehr Informationen zum Thema Zertifizierungsstellen gibt es in unserem Beitrag TLS/SSL: Fragen und Antworten

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikatspinning (englisch certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um das gleiche Zertifikat handelt, wie bei der ersten Verbindung.

Mehr Informationen zum Thema Zertifikatspinning gibt es in unserem Beitrag SSL/TLS: Fragen und Antworten.

Das Internet verschlüsseln

Die Initiative „Let's encrypt“ will verschlüsselte Verbindungen als Standard in der Online-Kommunikation etablieren. Ziel ist, das teure und technisch aufwendige Zertifizierungssystem durch einen automatisierten und kostenlosen Prozess ersetzen. Das Projekt startete im Dezember 2015 und befindet sich aktuell im Aufbau.

Große Dienstanbieter wie Mozilla sind dieser Initiative bereits beigetreten, was Verbraucherschutzorganisationen hoffnungsvoll stimmt. Denn sollte diese Initiative Erfolg haben, würde sich die Sicherheit der Nutzer im Internet wesentlich verbessern.

Smartphone und Tablet: Was können Nutzer tun?

Nutzer von Smartphones und Tablets können lediglich im Browser und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps nutzen eine Internetverbindung. Oft werden dabei sensible Daten übertragen. Sie sollten daher ebenfalls verschlüsselt kommunizieren. Allerdings können bei herkömmlichen Apps die Nutzer nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob das Zertifikatspinning eingesetzt wird.

Ob das der Fall ist, kann nur durch unabhängige Gutachter oder Selbstauskunft des Anbieters geklärt werden. Darum lohnt es sich, vor dem Installieren einer App nach Testberichten oder Bewertungen zu suchen, die diese Information möglicherweise bereitstellen. In unseren App-Rezensionen prüfen wir ausgewählte Apps daher auch darauf, ob TLS und Zertifikat-Pinning eingesetzt werden.

Wie sich die Vertrauenswürdigkeit einer App besser einschätzen lässt beschreibt unser Ratgeber Schadprogramme: Infektionen vorbeugen.  

Weitere Artikel

Ratgeber 

SIM-Swapping: Identitätsklau per SIM-Karte

Beim sogenannten „SIM-Swapping“ handelt es sich um eine Betrugsmasche, bei der ein*e Angreifer*in versucht, Zugriff auf die Telefonnummer des Opfers zu erlangen. Die Masche ist seit Jahren bekannt – der Schaden liegt dennoch in Millionenhöhe.

Mehr
Ratgeber 

NHS Covid-19 App: Großbritanniens Contact-Tracing-App kurz vorgestellt

Bei der britischen Contact-Tracing-App ist außer der Nutzung der Bluetooth-Technologie noch vieles offen. Die zentrale Datenspeicherung bringt technische Schwierigkeiten mit sich, inzwischen ist daher auch eine Anpassung der App auf die Schnittstelle von Google und Apple wieder im Spiel.

Mehr
YouTube-Video 

Zur DSGVO: Jetzt personalisierte Werbung verbieten

Unser praktischer Tipp zur DSGVO (Datenschutz-Grundverordnung): Jetzt personalisierte App-Werbung verbieten - und am besten auch gleich die Werbe-ID zurücksetzen! Im Video zeigen wir, wie das geht.

Ansehen
Browser und Suchmaschinen 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Sie haben sich von der Google-Suche verabschiedet, möchten aber auf die Suchleiste auf dem Startbildschirm Ihres Smartphones nicht verzichten? Kein Problem mit Simple Search! In dieses nützliche kleine Werkzeug lässt sich jede Suchmaschine einbauen.

Mehr