Die Verschlüsselung von Daten mittels SSL- oder TLS-Zertifikat ist ein probates Mittel, die Sicherheit im Internet zu erhöhen. Ordentlich implementiert und sinnvoll konfiguriert ist moderne Verschlüsselung schwer zu knacken. Dennoch gibt es Kriminelle, die sich davon nicht einschüchtern lassen, und denen es gelingen kann, die Verschlüsselung zu umgehen, wie die IT-Sicherheitsexpertin Patrycja Tulinska von der PSW Group erklärt.
Die Geschäftsführerin der Security-Firma nennt mit SSL-Stripping sowie Man-in-the-middle-Attacken in diesem Zusammenhang zwei Gefahren, die nicht zu unterschätzen seien. „Das Programm SSLstrip beispielsweise positioniert sich zwischen Client und Server und greift Daten vor ihrer Verschlüsselung, auf dem Weg zwischen Server und Website, ab. Damit können Angreifer, die dieses Tool nutzen, sämtliche Daten im Klartext mitlesen, die Kunden an einen Online-Shop übermitteln“, warnt die Expertin. Da SSL-Stripping keine Warnmeldung im Browser erzeugt, bekommt auch niemand etwas davon mit. „Um SSL-Stripping zu verhindern, können Website-Betreiber die Verschlüsselung für alle Unterseiten der Webpräsenz aktivieren.“ Zudem sollte man eingehende HTTP-Verbindungen auf sichere HTTPS-Verbindungen umleiten. Auch Cookies sollten keinesfalls über ungesicherte HTTP-Verbindungen zurückgesendet werden, so Tulinska.
Eine ähnliche Methode wie SSL-Stripping sind Man-in-the-Middle-Attacken (MitM-Attacken). Der Angreifer schaltet sich zwischen das Opfer, also den Client, und der durch das Opfer verwendeten Ressource, den Server, und verbirgt sein Tun. Sowohl vor dem Client als auch vor dem Server gibt sich der Angreifer als eigentlicher Kommunikationspartner aus. „Mit den so abgefangenen Informationen können Angreifer verschiedene Aktionen starten. Identitätsdiebstahl ist genauso möglich wie das Fälschen von Transaktionen oder das Stehlen geistigen Eigentums. Eine starke Ende-zu-Ende-Verschlüsselung gehört zu den wirksamsten Mitteln gegen Man-in-the-Middle-Attacken. Denn so liegen Daten auch auf Teilstrecken nie in unverschlüsselter Form vor“, so Tulinska.