Trügerische Verschlüsselung
Erschreckende Sicherheitsdefizite bei Internet-Anwendungen

Hannover, 18. Dezember 2008 - Viele eingesetzte Verschlüsselungsverfahren weisen sowohl im Web als auch bei E-Mails erschreckende Sicherheitsdefizite auf. Dies zeigen Messungen des Instituts für Internet-Sicherheit. Wer richtig verschlüsseln will, der sollte die einzelnen Verfahren genau vergleichen und sowohl Client- als auch Server-Software immer auf dem aktuellen Stand halten. Das rät das IT-Profimagazin iX in seiner aktuellen Ausgabe 1/09.

Eine verschlüsselte Übertragung sensibler Daten gilt mittlerweile als obligatorisch - insbesondere beim Online-Banking. Doch verschlüsselte Verbindungen sind keineswegs immer sicher. Nur wenigen Anwendern ist bewusst, wie sehr sich die verwendeten Verschlüsselungsverfahren hinsichtlich ihrer kryptografischen Leistungsfähigkeit voneinander unterscheiden.

"Zwar sind alle Kryptosysteme mit genügend Rechenkraft knackbar, aber der Aufwand für Angreifer hängt stark von zwei beeinflussbaren Variablen ab. Zunächst von der Schlüssellänge, die den theoretischen Aufwand für das Ausprobieren aller möglichen Kombinationen festlegt. Hinzu kommen jedoch Schwachstellen, die ein Krypto-Algorithmus aufweisen kann. Sie verringern den theoretischen Aufwand bisweilen stark und bilden eine reale Bedrohung", erläutert iX-Redakteur Bert Ungerer. Es komme sogar vor, dass eine SSL-Verbindung - am https in der Browser-Adresszeile erkennbar - vollkommen unverschlüsselt sei.

Wer auf der sicheren Seite sein will, sollte Client-Programme und Serverdienste ausschließlich für sichere Verfahren einrichten und unsichere Verfahren wie RC4/MD5 deaktivieren. Außerdem sollten alle Softwarekomponenten auf zeitgemäße Versionen aktualisiert werden. "Hier sind angesichts der Trägheit der Anwender vor allem die Softwarehersteller in der Pflicht. Sie müssen Upgrades mit sicheren Verschlüsselungen auch für ältere, noch im Umlauf befindliche Komponenten bereitstellen", sagt iX-Sicherheitsexperte Bert Ungerer.