16.10.2014, 13:26 Uhr | 0 |

Google entdeckte Browser-Lücke Hacker können Daten für Online-Banking leicht ausspähen

Google-Experten haben eine schwere Sicherheitslücke im Internet entdeckt: Ausgerechnet eine Verschlüsselungssoftware, die beispielsweise beim Online-Banking eingesetzt wird, macht Ärger. Wir sagen Ihnen, wie sie sich dagegen schützen können.

Internetsicherheit
Á

Onlinekurs "Sicherheit im Internet" des Hasso-Plattner-Instituts in Potsdam: Jetzt haben Googles Sicherheitsingenieure eine große Lücke in der Sicherheitstechnik von Browsern entdeckt. Diese erlaubt es Hackern, etwa beim Online-Banking alle Kontodaten mitzulesen.

Foto: Hasso-Plattner-Institut

Die Sicherheitsingenieure von Google haben die Lücke in den gängigen Browsern Dienstagnacht entdeckt. Sie ermöglicht Hackern, verschlüsselte Daten im Klartext zu lesen. Durch die Fehlfunktion namens Padding Oracle on Downgraded Legacy Encryption, kurz Poodle, können die Angreifer gezielt beispielsweise die E-Mail-Zugangsdaten oder, schlimmer noch, den Account fürs Online-Banking knacken.

Datendiebe helfen bei Störungen nach

Normalerweise sind sensible Daten durch die moderne Sicherheitssoftware namens Transport Layer Security (TLS) geschützt. Diese lässt sich – noch – nicht austricksen, wohl aber deren Vorgänger SSL 3.0, der stolze 15 Jahre auf dem Buckel hat. Wenn TLS Probleme macht, schalten viele Web-Browser auf die alte Version SSL 3.0 um.

Genau darauf warten Hacker, denn dann können sie mitlesen. Weil die Störung selten auftritt, helfen die Datendiebe nach, indem sie die Störung von TLS gezielt herbeiführen. „Die Sicherheitslücke ist ziemlich schwerwiegend“, warnt Robert Hansen, Fachmann für Web-Browser bei der IT-Sicherheitsfirma White Hat Security auf dem Internet-Portal Cnet. Die größte Gefahr bestehe unmittelbar nach deren Bekanntwerden. Es sei damit zu rechnen, dass noch innerhalb dieser Woche erste Tools in Untergrund-Foren die Runde machen, die die Schwachstelle gezielt ausnutzen.

Bei Smartphones lässt sich die Gefahr nicht immer beseitigen

Der Internet-Nutzer kann sich allerdings wehren. Dazu muss er die Umleitung in den von ihm genutzten Browsern von Hand ausschalten. Beim Browser Firefox etwa muss der Nutzer in die Adressleiste „about:config” schreiben und die Option „security.tls.version.min” auf „1″ setzen, so die Spezialisten des Internet-Portals www.zdnet.de. Dadurch werde Firefox angewiesen, zur Verschlüsselung ausschließlich das SSL-Nachfolgeprotokoll TLS zu nutzen.

Microsofts Internet Explorer erlaube ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option „SSL 3.0 verwenden” unter Internetoptionen – Erweitert einfach aus. ZDNet und Heise geben konkrete Tipps für die Deaktivierung des verräterischen Sicherheitsprotokolls bei anderen Browsern. Mit einem Poodle-Test lässt sich zudem die Anfälligkeit des verwendeten Browsers überprüfen.

Bei Smartphones lässt sich der Zugriff auf die gefährliche Sicherheitssoftware nicht immer verhindern. So gibt es bei Geräten mit dem Betriebssystem Android keine solche Möglichkeit.

Mozilla (Firefox) und Google haben schnell reagiert. Beide arbeiten bereits an Browserversionen, die SSL 3.0 die kalte Schulter zeigen. Manche Kontakte lassen sich dann allerdings nicht mehr herstellen. Die University of Michigan hat eine Liste von Diensten veröffentlicht, die lediglich SSL-3.0-Unterstützung bieten, aber keinen TLS-Support.

Anzeige
Von Wolfgang Kempkens
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden