| 13.25 Uhr

Drown-Attacke bedroht Nutzerdaten
Jeder dritte Server verwendet Uralt-Sicherheitslösung

Drown-Attacke bedroht Nutzerdaten - Uralt-SSL schuld
Die uralte Verschlüsselungstechnologie SSLv2 wird noch von vielen Top-Domains genutzt, darunter Yahoo, Flickr oder Chefkoch.de. FOTO: dpa
Düsseldorf. SSLv2 heißt eine Verschlüsselungstechnologie aus der Steinzeit des Internet. Sie gilt eigentlich als ausgestorben. Dachte man. Tatsächlich läuft sie aber noch auf so vielen Servern, dass eigentlich verschlüsselte Nutzerdaten in Gefahr sind. Das Tückische daran: Als User kann man nichts dagegen tun. Forscher warnen nun vor der sogenannten Drown-Attacke. Von Christoph Schroeter

Beginnt eine Internetadresse mit "https", sollte man sich als Nutzer eigentlich sicher fühlen. Das angehängte "s" verrät einem, dass die Daten zwischen dem eigenen Rechner oder Smartphone und dem Server verschlüsselt übertragen werden.

Offenbar handelt es sich dabei um eine trügerische Sicherheit. Schuld daran ist die Verschlüsselungstechnologie SSLv2 aus den 90er-Jahren des vergangenen Jahrtausends, also einer Zeit, als das Internet ganz langsam anfing, ein Massenmedium zu werden.

Viele sagen, ein Jahr im Netz sei so viel, wie sieben Jahre in der wahren Welt. Dieser Rechnung zufolge hätte SSLv2 die Hundert-Jahre-Marke bereits deutlich überschritten und sollte bereits seit langer Zeit im digitalen Orkus verschwunden sein.

Viele Top-Domains betroffen

Das dachte auch eine internationale Forschergruppe, der unter anderem Wissenschaftler der FH Münster und der Uni Bochum angehören. Zu ihrer Überraschung mussten sie jedoch nach einem Scan feststellen, dass jeder Dritte Server im Netz noch auf diese uralte Sicherheitslösung setzt. Damit sind sie für einen von den Forschern Drown-Attacke getauften Angriff anfällig. Bei diesem können eigentlich verschlüsselte Nutzerdaten ausgelesen werden.

Bei der Drown-Attacke greift ein Hacker den Datenverkehr ab, entschlüsselt ihn dann später. FOTO: drownattack.com

Und es sind nicht irgendwelche Wald- und Wiesenseiten, die nach wie vor SSLv2 verwenden. Laut der Forschergruppe sind es internationale und auch nationale Top-Domains, darunter Yahoo, Flickr, Alibaba, Weather.com, Groupon, Buzzfeed, der Fritzbox-Hersteller AVM, Chefkoch, Gelbe Seiten oder Idealo.

Sogar Regierungsseiten aus Indien, Brasilien, der Türkei und den USA finden sich in der Liste, etwa das U.S. Department of Health & Human Services, die US-Umweltschutzbehörde EPA und sogar die Kongressbibliothek in Washington.

Nutzer können nichts gegen die Drown-Attacke tun

Wie die Seite "Heise.de" erklärt, kann mit der von den Forschern entwickelten Drown-Attacke zunächst der Datenverkehr zwischen dem Gerät des Nutzers und dem mit SSLv2 verschlüsselten Server aufgezeichnet werden. Später zwingt der Angreifer dann den Server, ihm den Schlüssel auszuhändigen. Damit kann der zuvor aufgezeichnete Datenverkehr entschlüsselt werden. Auf diese Weise können laut Heise sogar Datenströme geknackt werden, die Monate oder Jahre zuvor aufgezeichnet wurden.

Einen Grund, die veraltete Sicherheitstechnologie noch einzusetzen, gibt es nicht. Sämtliche modernen Browser unterstützen das Protokoll nicht mehr. Der letzte war laut "Heise" vermutlich der Internet Explorer 6 für Windows XP.

Kann man als User bei einer Bedrohung durch Würmer, Viren oder Trojaner immerhin noch sein Anti-Virenprogramm auf den neuesten Stand bringen, sind dem Nutzer hier die Hände gebunden. Die einzigen, die etwas gegen die Bedrohung unternehmen können, sind die Serverbetreiber.

Immerhin: Die Forschergruppe hat eine Abfrageseite ins Netz gestellt, auf der überprüft werden kann, ob eine bestimmte Domain von der Sicherheitslücke betroffen ist.

Diskussion
Ihre Meinung zum Thema ist gefragt

Schreiben Sie jetzt Ihre Meinung zu:

Drown-Attacke bedroht Nutzerdaten - Uralt-SSL schuld


Beachten Sie dabei bitte unsere Regeln für Leserkommentare.