Webserver: Sicherheitsstandard TLS ausgehebelt

Webserver: Sicherheitsstandard TLS ausgehebelt

02.03.2016
© RUB, Marquard

Bei einem Drittel aller Server lassen sich der Sicherheitsstandard TLS und die verschlüsselte Datenübertragung aushebeln. Betroffen sind alle Formen der Kommunikation im Internet, bei denen sensible Daten im Spiel sind.

Fataler Fehler führt zu Sicherheitslücken

Ein internationales Forscherteam, zu dem auch Wissenschaftler der RUB gehören, setzte bei seinem kryptographischen Angriff auf einen alten Bekannten: „SSLv2“ ist die als unsicher geltende Vorgängerversion des aktuellen Sicherheitsprotokolls TLS. „SSLv2 schlummert weiterhin auf vielen Servern, auch wenn längst TLS angewendet wird“, sagt Juraj Somorovsky vom Bochumer Horst-Görtz-Institut. Die alte Version sei häufig ersetzt, nicht aber endgültig gelöscht worden. Ein fataler Fehler, wie sich jetzt zeigt: Über dieses Einfallstor lassen sich die TLS-Sicherheitsmechanismen umgehen und damit sind Benutzernamen, Passwörter, Kreditkartenummern oder Finanzdaten schutzlos preisgegeben.

Webseite bietet Tipps zum Schutz

„Vor Angriffen dieser Art kann man sich schützen“, so Somorovsky. Zunächst sollten Webadministratoren das SSLv2-Protokoll auf ihren Servern deaktivieren. Zudem bieten die Wissenschaftler seit dem 1. März 2016 die Webseite www.drownattack.com mit wichtigen Tipps zum Thema an. Dort kann jeder selbst testen, ob seine Webseite sicher ist.