Geknackte Ver­schlüs­selung RC4 noch immer im Einsatz

Eine eigene Homepage gehört schon fast zum guten Ton. Doch wie kann dem Geschäfts­partner signa­li­siert werden, dass diese Inter­net­seite tat­sächlich dem Unter­nehmen gehört? Und geschützte Bereiche tat­sächlich sicher sind?

Eine eigene Homepage gehört schon fast zum guten Ton. Die Pflicht­an­gaben sind auf­grund diverser Medi­en­be­richte vor­aus­sichtlich auch jedermann bekannt. Ver­­­tipper-Domains oder Wei­ter­leitung bei gecrackten Domains sind auf den ersten Blick kaum zu erkennen.
Seit NSA & Co ist das Bewusstsein gestiegen, dass der Daten­aus­tausch mit Web-Por­­talen oder Kun­den­be­reichen etc. ebenso mit­ge­lesen werden kann, wie auf einer Post­karte. Woher kennen wir den Ver­gleich? Richtig, E‑Mail. Dort ist es eben­falls mit der Sicherheit bzw. Ver­trau­lichkeit nicht weit bestellt, wenn keine Ver­schlüs­selung ein­ge­setzt wird.
Aber auch für Web­­seiten-Betreiber gibt es eine Mög­lichkeit zur Ver­schlüs­selung.

Ver­schlüs­selte Web-Seiten – Sicherheit der Zugangs­daten
Kenn­zeichen der Ver­schlüs­selung von Seiten ist das kleine „s“ bei https. So weit, so gut.
Damit ist sicher­ge­stellt, dass sich niemand sen­sible Daten bei deren Über­tragung mit­lesen kann. Hier kommt mit Sicherheit wieder die gän­gigen Argu­mente: „ich hab doch nichts zu ver­bergen“, oder „wen inter­es­siert schon, was ich im Internet eingebe“.
Nun, was denken Sie, wen bei­spiels­weise Ihre Pass­worte inter­es­sieren könnten? Für Amazon, eBay oder ihr E‑Mail-Konto? Einkauf, Verkauf und Malware in Ihrem Namen. Ich bin sicher, da findet sich wer!  

https und die Ver­schlüs­se­lungs­technik
Nun ist https nicht gleich https. Bekannte Lücken wie Heart­bleed oder Poodle haben durch das Medi­enecho viel­leicht auch die Nicht­tech­niker erreicht, die eigene Inter­net­seiten betreiben. Damals ging es um die ver­schie­denen Ver­sionen des Sicher­heits­pro­to­kolls für die Ver­schlüs­selung – und dass nur noch die Ver­sionen ab „TLS 1.2“ ein­ge­setzt werden sollten. Nebenbei: Um Seiten mit https anbieten zu können, benö­tigen Sie zusätzlich ein Zer­ti­fikat für ihre Web-Seite. Richtig gut sind nur die Extended-Vali­­dation-Zer­­ti­­fikate, da diese eine spe­zielle Art der Iden­ti­fi­kation des Betreibers erfordern.

Segen und Fluch: RC4 — Ver­schlüs­selung
Und nun noch etwas tiefer in die Technik: In den Sicher­heits­pro­to­kollen SSL/TLS können unter­schied­liche Ver­schlüs­se­lungs­al­go­rithmen ver­wendet werden.
RC4 ist heute ein ernst­zu­neh­mendes Problem: Er gilt eigentlich seit 2001 als geknakt! 2011 wurde er jedoch auf­grund der Beast-Attacke auf die in TLS ver­wen­deten Block­chiffren  wieder emp­fohlen. 2013 wurde dann aller­dings an einem prak­ti­schen Einsatz seine Unzu­läng­lichkeit bewiesen.
Dennoch wurde er von der „Internet Engi­neering Task Force“ erst im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS ver­boten.
Dies bedeutet jedoch nicht, dass er nicht mehr ein­ge­setzt wird…

Kom­pa­ti­bi­lität – das Unwort der Sicherheit
Kurz gesagt: RC4 und auch die alten SSL-Ver­­­sionen etc. sind nicht tot zu kriegen.
Es ist zum einen der Aufwand, den jeder Betreiber scheut. Zum anderen das Nut­zungs­ver­halten der User! Diese ver­wenden zum Teil steinalte Software, die die neuen Sicher­heits-Fea­­tures nicht beherr­schen.

Fazit:
Sicherheit ist ein müh­samer Weg.
Im Umgang mit Geschäfts­partnern sollte es jedoch üblich sein, diese nicht durch zu laxe Sicher­heits­vor­keh­rungen zu gefährden.

Bild: © Carola Langer / pixelio.de