Browser-Sicherheit: Augen auf im World Wide Web Wann ist „sicher“ wirklich sicher?
6. Juli 2018Einige Browser wiegen ihre Nutzer in vermeintlicher Sicherheit, die nicht gegeben ist, wenn sie „https“ sowie ein „Sicher“ anzeigen. Ein Blick auf die Support-Seiten dieser Browser zeigt eindeutig, dass eine wichtige Komponente von SSL-Zertifikaten massiv ins Hintertreffen gerät: die zuverlässige und ausreichende Validierung. Früher gab es selbst für die einfachste Validierung weitere Sicherheitsmaßnahmen. In letzter Zeit jedoch hat die Anzahl zertifizierter Phishing-Sites massiv zugenommen – sowohl durch den einfachen Zugang zu SSL-Zertifikaten, aber auch dadurch, dass die Browser nun vor Websites ohne Verschlüsselung auffallend warnen.
Entwicklungsproblematik
„Die Darstellung von SSL-Zertifikaten hat sich in einigen Browsern in letzter Zeit nicht zum Besten entwickelt. Langjährige Sensibilisierungsmaßnahmen müssen endlich neu überdacht werden“, macht Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group aufmerksam.
Der Grund: Einige Browser wiegen ihre Nutzer in vermeintlicher Sicherheit, die nicht gegeben ist, wenn sie „https“ sowie ein „Sicher“ anzeigen. Ein Blick auf die Support-Seiten dieser Browser zeigt nämlich, dass eine wichtige Komponente von SSL-Zertifikaten massiv ins Hintertreffen gerät: die zuverlässige und ausreichende Validierung.
Christian Heutger erklärt: „Früher gab es selbst für die einfachste Validierung weitere Sicherheitsmaßnahmen. In letzter Zeit jedoch hat die Anzahl zertifizierter Phishing-Sites massiv zugenommen – sowohl durch den einfachen Zugang zu SSL-Zertifikaten, aber auch dadurch, dass die Browser nun vor Websites ohne Verschlüsselung auffallend warnen.“
Dabei gibt es etwas Besseres als „Sicher“: erweitert validierte (EV) SSL-Zertifikate. Vor Vergabe kommt eine strenge Authentifizierung mit dem höchsten und aktuellsten in der Branche verfügbaren, Sicherheitsstandard zum Einsatz. Diese unterscheiden sich durch eine grüne Adresszeile mit dem Namen des SSL-zertifizierten Unternehmens und der Zertifizierungsstelle. „Die Barrieren sind hier sehr hoch gelegt und die Möglichkeiten des Missbrauchs sind, anders als bei etlichen Alternativen, äußerst gering“, beurteilt Heutger.
Im Verruf: „Web of Trust“
Dazu zählen unter anderem das Add-on „Web of Trust“, das in der Vergangenheit nach Spähvorwürfen ohnehin in Verruf geraten ist. Und auch die Alternative Webutation, die gegen Betrug und Malware beim Browsen und Shoppen im Internet schützen soll, hat einen großen Nachteil: Die Anzeigen in Form von farblichen Icons werden von der Community getragen.
„Das ist ähnlich wie bei den Angeboten, bei denen sich Unternehmen Fans und Beitrag-Likes auf sozialen Netzwerken für wenig Geld kaufen können: Hier liegt nahe, dass dem Missbrauch Tür und Tor geöffnet wird. Immer dann, wenn nicht etwa ein vertrauenswürdiger Dritter, sondern die Massen entscheiden sollen. Ähnliche Manipulationen kennt man auch bei diversen Bewertungsportalen – sie sind stets ein Katz-und-Maus-Spiel“, warnt Christian Heutger.
Noch ein anderes Phänomen stößt dem IT-Sicherheitsexperten bitter auf: Die Neuaustellungen von SSL-Zertifikaten weisen eine höhere Rotation auf. „Damit stellt die Prüfung des Fingerprints auch keine Alternative in Sachen Sicherheit mehr dar. Denn dieser ändert sich natürlich im gleichen Intervall. Die leider sehr eingeschränkte Sicht der Browser-Entwickler wird hier zunehmend auf dem Rücken der Nutzer ausgetragen“, bemerkt Heutger.
Da nütze es dann auch nichts, wenn Google seine Transparenzberichte feiert, die zeigen, dass sich HTTPS immer mehr durchsetzt. Denn eine Vielzahl der Sites ist mit kostenlosen SSL-Zertifikaten ausgerüstet, die nur wenige Monate gültig sind. „Kostenlos bedeutet, dass keine umfassende Validierung stattfinden kann, denn die kostet nun einmal Geld. Die Browser-Entwickler machen es sich zu einfach, indem sie alles, was verschlüsselt ist – egal wie – als sicher darstellen. Es ist nun am Nutzer, herauszufinden, wie sicher „Sicher“ wirklich ist“, so der IT-Sicherheitsexperte.
Daher lautet der Rat für alle Internetnutzer: „Augen auf beim Surfen im World Wide Web! Jeder sollte unbedingt auf die Namensnennung der Organisation in der Adressleiste achten, die sich zusätzlich idealerweise grün färbt. Um herauszufinden, ob „sicher“ wirklich sicher ist, lohnt außerdem ein Blick in die Erklärungen des Browser-Herstellers.“ (rhh)
Hier geht es zur PSW-Group