Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016

Wer über Smartphone oder Tablet im Internet surft, möchte sich keine Gedanken darüber machen, ob der Tischnachbar im Café gerade die Suchanfragen mitliest. Das geht nur, wenn die Apps ihre Verbindungen ins Internet verschlüsseln.

Verschlüsselte Verbindungen sind im Internet noch kein Standard – obwohl es dafür gute Gründe gäbe. Wer will schon, dass jeder beliebige Mensch, der sich im gleichen Netzwerk aufhält, die eigenen Online-Aktivitäten nachvollziehen kann? Zum Beispiel die Google-Suchen nach Krankheiten, den Traumreisezielen, Bahnticket-Buchungen oder WhatsApp-Chats?

Wer findet, dass diese Informationen niemanden etwas angehen, der ist auf verschlüsselte Verbindungen angewiesen. So wird nicht nur das Surfen im Internet mit dem Webbrowser sicherer, sondern auch auch E-Mail-Programme, Chat-Programme und andere Apps, die Kontakt zu Servern aufnehmen.

Browser: das kleine grüne Schloss

Durch Online-Banking über den Webbrowser sind viele Verbraucher mit verschlüsselten Verbindungen bereits vertraut: das kleine grüne Schloss in der Internetadresszeile zeigt an, dass die Verbindung zur Bank abgesichert ist und dass es sich auch wirklich um die Hausbank und keine Fälschung handelt.

Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für den englischen Begriff "Transport Layer Security".

Wie TLS genau funktioniert, erklären wir in unserem Beitrag TLS/SSL: Fragen und Antworten

Bei vielen Webseiten gibt es inzwischen zwar die Möglichkeit, eine solche Verbindung zu nutzen, sie ist aber nicht standardmäßig aktiv. Nur wer „https://“ in die Adresszeile des Webbrowser eintippt, landet auf der sicheren Seite.

Was beim Computer schon aufwendig ist, ist im Smartphone unzumutbar. Kaum ein Nutzer wird bei jeder Suchanfrage extra https://google.com eintippen, um dort seine Suchanfrage zu stellen. Um diese Möglichkeit dennoch wahrzunehmen, helfen bei manchen Webbrowsern, wie beispielsweise Firefox, Erweiterungen weiter.

Der Ratgeber Add-ons für Firefox (Android) beschreibt, welche Erweiterungen für Datenschutzfreunde zu empfehlen sind. 

Der Angreifer in der Mitte

Wer mit einem Schloss in der Internetadresszeile surft, ist auf jeden Fall besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer und Anbieter. Dem Nutzer gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer. Weder der Anbieter noch Nutzer bemerken, dass ihre Kommunikation über einen Dritten umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Denn bevor eine verschlüsselte Verbindung zwischen Nutzer und Anbieter aufgebaut wird, prüft das Endgerät ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig herausgestellt.

 

Gefälschte Zertifikate

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1500 Zertifizierungsstellen (englisch: Certificate Authority oder auch CA-Authority) mit ganz unterschiedlichen Sicherheitsstandards – und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer dann gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös, und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den letzten Jahren falsche Zertifikate immer wieder im Umlauf. Auch Google war einmal davon betroffen.

Vor allem aber ist das bisherige Zertifizierungsverfahren aufwendig und bürokratisch. Es ist nicht geeignet, sich als Standard für verschlüsselte Verbindungen zu etablieren. Darum findet ein Großteil des Internetverkehrs heute immernoch unverschlüsselt statt.

Mehr Informationen zum Thema Zertifizierungsstellen gibt es in unserem Beitrag TLS/SSL: Fragen und Antworten

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikatspinning (englisch certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um das gleiche Zertifikat handelt, wie bei der ersten Verbindung.

Mehr Informationen zum Thema Zertifikatspinning gibt es in unserem Beitrag SSL/TLS: Fragen und Antworten.

Das Internet verschlüsseln

Die Initiative „Let's encrypt“ will verschlüsselte Verbindungen als Standard in der Online-Kommunikation etablieren. Ziel ist, das teure und technisch aufwendige Zertifizierungssystem durch einen automatisierten und kostenlosen Prozess ersetzen. Das Projekt startete im Dezember 2015 und befindet sich aktuell im Aufbau.

Große Dienstanbieter wie Mozilla sind dieser Initiative bereits beigetreten, was Verbraucherschutzorganisationen hoffnungsvoll stimmt. Denn sollte diese Initiative Erfolg haben, würde sich die Sicherheit der Nutzer im Internet wesentlich verbessern.

Smartphone und Tablet: Was können Nutzer tun?

Nutzer von Smartphones und Tablets können lediglich im Browser und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps nutzen eine Internetverbindung. Oft werden dabei sensible Daten übertragen. Sie sollten daher ebenfalls verschlüsselt kommunizieren. Allerdings können bei herkömmlichen Apps die Nutzer nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob das Zertifikatspinning eingesetzt wird.

Ob das der Fall ist, kann nur durch unabhängige Gutachter oder Selbstauskunft des Anbieters geklärt werden. Darum lohnt es sich, vor dem Installieren einer App nach Testberichten oder Bewertungen zu suchen, die diese Information möglicherweise bereitstellen. In unseren App-Rezensionen prüfen wir ausgewählte Apps daher auch darauf, ob TLS und Zertifikat-Pinning eingesetzt werden.

Wie sich die Vertrauenswürdigkeit einer App besser einschätzen lässt beschreibt unser Ratgeber Schadprogramme: Infektionen vorbeugen.  

Weitere Artikel

Ratgeber 

Rooten und Jailbreak – Erlischt die Gewährleistung?

Wer einen PC kauft, der darf dort jedes passende Betriebssystem installieren. Auch bei Smartphones kann man die Systemsoftware verändern – allerdings ist die Rechtslage nicht so eindeutig. Denn die Hersteller sehen „Jailbreak“ und „Rooten“ gar nicht gerne.

Mehr
Ratgeber 

Kurz vorgestellt: Passwort-Manager KeePass fürs Smartphone

Passwort-Manager helfen, viele verschiedene sichere Passwörter im Alltag zu verwalten. Wir empfehlen dafür das Programm KeePass, da es Passwörter nicht im Internet speichert und als offenes Projekt von vielen Beteiligten kontrolliert wird. Das Programm können Sie auch auf dem Smartphone nutzen.

Mehr
Checkliste 

Checkliste: Android-Handy gegen Diebstahl sichern

Mit diesen Vorkehrungen können Sie Ihr Android-Handy absichern, für den Fall, dass es einmal verloren geht oder gestohlen wird. Selbst wenn das Gerät verschwunden bleibt: Ihre Daten und Passwörter sind dann zumindest geschützt.

Mehr
Kostenfallen 

Mit dem Smartphone im EU-Ausland: Welche Kosten können entstehen?

Telefonieren, Surfen und SMS schicken ist im EU-Ausland seit 2017 nicht mehr teurer als in Deutschland. Es gibt allerdings Ausnahmen. Wir erklären, worauf Sie achten sollten.

Mehr