Eine schon bekannte Sicherheitslücke in der Datenübertragung per HTTPS konnte erstmals ausgenutzt werden. Von dem Hack ist nicht nur das Onlinebanking betroffen.

Ein einziger Buchstabe wiegt die Nutzer von Onlinebanking-Seiten in Sicherheit: das „s“ im Adresspräfix https. Das steht für Hypertext Transfer Protocol Secure – also sicheres Übertragungsprotokoll. Internetadressen, die mit https beginnen, verschlüsseln die Kommunikation zwischen Website und Nutzer. Ein Angreifer, der sich in diese Kommunikation beispielsweise mit einem sogenannten „Man in the middle-Angriff“ einklinkt, sieht keinen Klartext. Zwei Sicherheitsexperten behaupten nun, dass genau das doch möglich ist.

Den beiden ist es nach eigenen Angaben gelungen, die lange als abhörsicher geltende Technologie zu entschlüsseln. Ein „Mann in der Mitte“ könnte mit ihrer Methode die vermeintlich sicheren Sitzungen beim Onlinebanking, bei Onlinehändlern, aber auch beim Instant Messaging kapern und für seine Zwecke nutzen.

Komplizierter Angriff - Der Vietnamese Thai Duong und der Argentinier Juliano Rizzo haben einen sogenannten Proof-of-concept-Code geschrieben, der die Verschlüsselung rückgängig macht. Die beiden anerkannten Experten nennen ihr in der Programmiersprache Javascript geschriebenes Programm BEAST, eine Abkürzung für Browser Exploit Against SSL/TLS.

SSL steht dabei für Secure Sockets Layer. Es ist die bei Https-Verbindungen genutzte Verschlüsselung, um transportierte Daten unlesbar zu machen. Sie wurde bereits 1994 von Netscape eingeführt. SSL wird immer noch verwendet, doch ist heute das Nachfolge-Protokoll TLS stärker verbreitet, wobei die Abkürzung für Transport Layer Security steht. Alle gängigen Browser und viele Dienste-Anbieter nutzen diese Protokolle.

Der Angriff selbst ist kompliziert und weit davon entfernt, ein Massenphänomen zu werden: Zunächst muss der Angreifer in die Position des „Man in the middle“ gelangen, sich also unerkannt im selben Netzwerk befinden wie sein Opfer und dessen Kommunikation mit der Zielseite mitschneiden. In offenen WLAN-Netzen ist das vergleichsweise leicht, Hacker finden aber auch andere Wege.

Cookie entschlüsselt - Besucht das Opfer dann eine Seite wie PayPal, warten die Angreifer ab, bis sich der Nutzer eingeloggt hat. Die Website sendet in diesem Fall einen verschlüsselten Session Cookie. Das ist eine Art zeitlich begrenzter Ausweis, mit dem sich der Nutzer bei der Seite identifiziert, solange er auf ihr surft. Dieser Cookie ist verschlüsselt. Duong und Rizzo ist es gelungen, ihn zu entschlüsseln und anschließend selbst zu nutzen – sich also für den eigentlichen Inhaber des Accounts auszugeben.

Dazu schieben die Angreifer dem Browser des Opfers BEAST unter. Um das zu erreichen, nutzen sie eine Funktion von Browsern, die schon lange für Angriffe verwendet wird. Das Verfahren nennt sich Cross-Site-Scripting. Dabei wird BEAST in diesem Beispiel der PayPal-Seite untergeschoben. Aufgrund der Struktur des Codes schickt die Website ihn ohne weitere Prüfung an den Browser des Nutzers, wo er dann den Cookie sucht und entschlüsselt.

Quelle: handelsblatt.com