Ratgeber

Wie sicher sind Internetverbindungen von Apps?

Ein Artikel von , veröffentlicht am 20.02.2016, bearbeitet am19.10.2020

Damit sie sicher mit dem Smartphone im Internet surfen können, sollte der Datenverkehr für Dritte unlesbar sein. Ob Apps verschlüsselt kommunizieren, lässt sich von außen leider nicht immer überprüfen. Es gibt aber einige Punkte, auf die Sie achten können.

Verschlüsselte Verbindungen dienen dem Zweck, Informationen schwerer "mitlesbar" zu machen. Damit Dritte Ihre Verbindungen sehen können, genügt es, wenn sie sich im selben WLAN-Netzwerk befinden.

Ohne Verschlüsselung lassen sich dann zum Beispiel Ihre Google-Suchen nach Medikamenten, Hotel-Buchungen oder Chat-Nachrichten nachvollziehen. Mit Verschlüsselung bekommen Angreifer*innen nur unleserlichen Zeichensalat zu sehen.

Browser: das kleine Schloss

In Browsern sind verschlüsselte Verbindungen inzwischen fast immer Standard. Das kleine Schloss in der Adresszeile zeigt an, dass die Verbindung abgesichert ist. Derart verschlüsselte Verbindungen nennt man TLS oder SSL-Verbindungen, nach dem gleichnamigen Verschlüsselungsverfahren. TLS steht dabei für Transport Layer Security.

Damit der Browser eine verschlüsselte Verbindung nutzen kann, muss der Anbieter der aufgerufenen Webseite selbst eine sichere Verbindung anbieten. Dass die Verbindung zu einer Webseite verschlüsselt ist, erkennt man an dem „https://“ in der Adresszeile. Die meisten Browser nutzen inzwischen automatisch die https-Verbindung und geben eine Warnung aus, wenn eine Webseite keine verschlüsselte Verbindung - also nur http - anbietet.

Wie TLS funktioniert, erklären wir hier: TLS/SSL: Fragen und Antworten.

Zertifikate und Angriffe

Wer mit einem Schloss in der Adresszeile surft, ist besser geschützt. Allerdings sind auch auf diese Verbindungen schon sogenannte Man-in-the-Middle-Angriffe (englisch für „Mann in der Mitte“) vorgekommen.

Dabei schaltet sich der Angreifer zwischen die verschlüsselte Verbindung von Nutzer*innen und Anbieter. Dem oder der Nutzer*in gegenüber gibt er sich als Anbieter aus, dem Anbieter gegenüber als Nutzer*in. Keine Seite bemerkt, dass die Kommunikation umgeleitet wird.

Diese Angriffe sind durch gefälschte oder erschlichene Zertifikate möglich. Bevor eine verschlüsselte Verbindung zwischen Nutzer*in und Anbieter aufgebaut wird, prüft das Gerät, ob der Server auch derjenige ist, für den er sich ausgibt. Das System der Prüfung durch Zertifizierungsstellen hat sich in der Vergangenheit aber als fehleranfällig erwiesen.

Dafür gibt es verschiedene Gründe. Einerseits fehlt ein einheitlicher Standard, nach dem zertifiziert wird. In der Folge gibt es weltweit über 1.500 Zertifizierungsstellen mit unterschiedlichen Sicherheitsstandards und Preisen.

Bei einigen Zertifizierungsstellen gab es Einbrüche, bei denen Schlüssel gestohlen wurden, mit denen die Angreifer gefälschte Zertifikate erstellen konnten. Andere Zertifizierungsstellen arbeiten unseriös und stellen wissentlich Zertifikate an Geheimdienste oder andere nicht legitime Besitzer eines Servers aus. Dadurch waren in den vergangenen Jahren immer wieder falsche Zertifikate im Umlauf.

Den Angreifer in der Mitte ausschließen

Inzwischen wurde der Umgang der Browser und Apps mit Zertifikaten um ein wesentliches Sicherheitsdetail erweitert, das effektiv vor den Man-in-the-Middle-Angriffen schützt: das sogenannte Zertifikats-Pinning (englisch: certificate pinning).

Dabei wird ein Zertifikat nicht nur auf seine Gültigkeit überprüft, sondern zusätzlich wird sichergestellt, dass es sich um dasselbe Zertifikat handelt wie bei der ersten Verbindung.

App-Verschlüsselung: Was können Nutzer*innen tun?

Auf Mobilgeräten können Sie nur im Browser, bei Messengern und im E-Mail-Programm überprüfen, ob der Anbieter verschlüsselte Verbindungen zur Verfügung stellt.

Aber auch viele andere Apps gehen ins Internet und oft werden dabei sensible Daten übertragen. Leider können Nutzer*innen bei den meisten Apps nicht prüfen, ob die Verbindungen ins Internet verschlüsselt sind und ob die Echtheit der Verbindung überprüft wird.

In unseren App-Tests auf mobilsicher.de und bei unserem Projekt prüfen wir Apps daher auch darauf, ob sie Transportverschlüsselung und Zertifikate-Pinning mitbringen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Datenschutz bei Apple: Optionen im Überblick

Auch Apple reagiert auf die DSGVO: Der Konzern stellt neuerdings viele zusätzliche Infos und Einstellungsmöglichkeiten für iPhone und iPad bereit. Damit Sie nicht den Überblick verlieren, haben wir die wichtigsten Optionen für den Datenschutz für Sie aufgelistet.

Mehr
Ratgeber 

Fernzugriff: Mobilgeräte löschen und sperren

Smartphone geklaut oder verloren? Dann können sensible Daten in falsche Hände gelangen. Zahlreiche Sicherheits-Apps versprechen die Komplettlöschung des Geräts aus der Ferne. Wir erklären, wie man diese Programme richtig nutzt und wo ihre Grenzen liegen.

Mehr
Backup 

Was ist eigentlich ein Backup?

Fotos, Notizen, Apps, Kennwörter – wer ein Smartphone nutzt, speichert allerhand auf dem Gerät. Damit die Daten gesichert sind, falls ihr Gerät einmal kaputt oder verloren geht, empfiehlt sich ein regelmäßiges Backup. Auch zum Überspielen Ihrer Daten auf ein neues Handy ist ein Backup nützlich.

Mehr
Ratgeber 

So einfach lässt sich ein Android-Gerät verschlüsseln

Ein verschlüsseltes Android-Smartphone oder -Tablet ist vor unerwünschten Mitlesern bestens geschützt. Und während der Vorgang bis vor kurzem eher etwas für Profis war, ist es inzwischen ganz einfach und sicher. Wir zeigen Schritt für Schritt, wie es geht.

Mehr