Sicherheit für den Staat muss nicht unbedingt immer Sicherheit für dessen Bewohner bedeuten. Eine Lehre, die immer häufiger gerade bei der Kommunikation via Internet gezogen wird. Eine Anweisung der Sicherheitsbehörden in den USA aus den 90er Jahren führt jetzt zu einer schweren Sicherheitslücke bei den sogenannten sicheren Verbindungen im Internet. Darüber habe ich bei MDR INFO berichtet.
14 Wissenschaftler veröffentlichen auf 13 Seiten etwas, was es wirklich in sich hat. Ihre Behauptung: Es gibt eine Sicherheitslücke in fast allen Internetbrowsern, die es ermöglicht, dass Fremde mitlesen können. Logjam ist der Name der Sicherheitslücke.
In Bochum liest Ralf Benzmüller diese 13 Seiten mit großem Interesse. Er ist Leiter des Sicherheitslabors der Anti-Virenfirma GDATA – für ihn ist es eine sehr schwere Lücke.
In diesem Fall wird halt eine Verbindung aufgebaut und da die abwärtskompatibel sein muss, ist es möglich, die Stärke der Verschlüsselung zu verringern. D.h. es wird nicht so gut verschlüsselt, wie es möglich wäre und dadurch kann ich verschlüsselte Kommunikation mitlesen.
Beispiel: Internet-Banking. Hier können Daten beim Überweisen vom eigenen auf ein fremdes Girokonto mitgelesen werden. Dazu gehören auch die geheimen Passwörter, obwohl beim Kommunizieren mit der Hausbank immer der als sicher geltende Internet-Standard „https“ genutzt wird.
Über 80.000 der weltweit am häufigsten besuchten Webseiten, sollen für mögliche Attacke anfällig sein. Betroffen sind auch acht Prozent aller Mailserver, heißt es in dem Papier der Entdecker von Logjam.
Fachleute sehen als Ursache dieser Sicherheitslücke eine Anweisung der US-Regierung aus den 90er-Jahren. Damals sollte der Verschlüsselungsstandard im neuen WorldWideWeb möglichst niedrig gehalten werden, damit die Geheimdienste mitlesen konnten. Doch heute sind auch die privaten Rechner um ein Vielfaches schneller und damit effektiver, so dass praktisch jeder mitlesen kann.
Wie kann man diese Sicherheitslücke umgehen? Ralf Benzmüller:
Der Nutzer zuhause ist angewiesen jetzt darauf, dass die Hersteller der Browser die Sicherheitslücke schließen. Und die Nutzer zuhause sollten, sobald die neue Browserversion draußen ist, auch tatsächlich updaten.
Übrigens kann jeder ausprobieren, ob sein Browser betroffen ist: Die Seite www.weakdh.org kommentiert beim Öffnen gleich am Anfang den aktuellen Sicherheitsstatus.
Virenschutzprogramme helfen in diesem Fall nicht weiter. Stattdessen müssen die Internetbrowser umprogrammiert werden. Und das ist bisher nur beim
Microsoft Explorer passiert. Dieser widersteht nach Angaben der Entdecker der Sicherheitslücke Logjam.