Daten in Gefahr: Forschergruppe findet Schwachstellen bei TLS-Verschlüsselung

Ob auf Facebook, beim Online-Banking oder bei E-Mails - die Technologie „Transport Layer Security“ (TLS) sorgt eigentlich dafür, dass Daten auf dem Weg durchs Netz nicht in falsche Hände geraten. Doch wie sich jetzt zeigt, gibt es Schwachstellen, die gefährlich werden können. 

Prof. Dr. Sebastian Schinzel zählt zu der Forschergruppe, die Schwachstellen im Zusammenhang mit der Verschlüsselungstechnologie TLS entdeckt hat. (Foto: FH Münster/Wilfried Gerharz)
Prof. Dr. Sebastian Schinzel zählt zu der Forschergruppe, die Schwachstellen im Zusammenhang mit der Verschlüsselungstechnologie TLS entdeckt hat. (Foto: FH Münster/Wilfried Gerharz)

Entdeckt hat sie eine internationale Gruppe von Forschern, zu der auch Prof. Dr. Sebastian Schinzel von unserer Hochschule gehört. Durch internetweite Scans fanden sie heraus, dass etwa 33 Prozent der SSL- und TLS-verschlüsselten Webserver im Netz an diesen Schwachstellen anfällig sind. Auf einer Website, die jeder einsehen kann, haben die Forscher diese Dienste in einer Liste zusammengefasst. „Jetzt arbeiten wir gemeinsam mit Herstellern und Betreibern daran, diese anfälligen Dienste abzusichern“, sagt Schinzel. Geschieht das nicht, könnten Passwörter von Internet-Nutzern, Kreditkartendaten, Emails und anderen sensible Daten gestohlen und missbraucht werden.

Ursache ist veraltete Technologie

Die Schwachstellen finden sich beim Vorgänger von TLS, der seit 20 Jahren veralteten Version 2 der Secure Socket Layer (SSL)-Technologie. Diese läuft aus Kompatibilitätsgründen häufig noch parallel zu TLS, erklärt Schinzel, der das Labor für IT-Sicherheit am Fachbereich Elektrotechnik und Informatik leitet. „Die neuen Schwachstellen erlauben es einem Angreifer, verschlüsselte TLS-Verbindungen selbst in der neuesten Version von TLS aufzubrechen, falls die SSL-Version 2 parallel betrieben wird.“

Den möglichen Weg eines solchen Angreifers sind die Forscher selbst gegangen. Sie knackten eine Verbindung, die über die neueste TLS-Version verschlüsselt war, innerhalb von acht Stunden mit einem Kostenaufwand von 400 Euro. Über eine Variante des Angriffs gegen die verbreitete Programmierbibliothek OpenSSL kann der Angriff sogar auf einem handelsüblichen Laptop in wenigen Minuten durchgeführt werden, sagt Schinzel.

Als Gegenmaßnahme muss Version 2 des SSL-Protokolls bei allen Diensten abgeschaltet werden. „Das sollte den laufenden Betrieb nicht stören, da moderne Clients diese Protokollversion ohnehin nicht mehr unterstützen“, so Schinzel. 

Seite drucken