Das absolute Minimum, was Sie über SSL wissen sollten


Thomas Wölfer
Thomas Wölfer

13. März 2018


Verwenden Sie keine Webseiten oder Internet-Dienste, die kein SSL verwenden.

Etwas mehr als das Minimum und dazu auch ein bisschen Hintergrundwissen:

SSL ist ein Verfahren das bei der Übertragung von Daten im Internet dafür verwendet wird, dass diese Daten während des Transports zum einen verschlüsselt sind und zum anderen nicht verändert werden können.

Das ist für mehr Dinge wichtig, als man auf den ersten Blick meinen möchte, denn auf den ersten Blick denkt sich der geneigte Leser folgendes: „Ich lese doch nur diese Werbe-Webseite, was spielt es schon für eine Rolle, wer das mitliest? Ist ja nichts Geheimes dabei.“

Und dieser erste Gedanke ist auch nicht ganz abwegig – es ist aber eben nur ein erster Gedanke. Die Verschlüsselung ist natürlich schon wichtig, allerdings in erster Linie in Situationen bei denen Zugangsdaten übertragen werden. Das ist vermutlich auch jedem sofort einsichtig: Wer sich bei seinem Web-Mail Account anmeldet, der sollte das nicht über eine unverschlüsselte Verbindung tun: Im anderen Fall wird der Email-Zugang schnell auch mal von Dritten verwendet.

Dieses Problem ist aber im Kern gelöst, denn praktisch überall wo man ein Passwort eingeben muss, wird auch Verschlüsselung verwendet.

Der eigentliche Sinn der Verschlüsselung ist aber ein anderer und zwar die Tatsache das die verschlüsselten Daten nicht verändert werden können, also ihre Integrität bewahren.

Um zu verstehen warum das wichtig ist muss man sich vor Augen führen, dass die Übertragung bei SSL in beiden Richtungen verschlüsselt ist. Daten werden also nicht nur verschlüsselt an einen Server geschickt, man bekommt den Inhalt einer angefragten Seite vom Webserver auch in verschlüsselter Form zurück. Nachdem durch die Verschlüsselung die Daten-Integrität bewahrt bleibt, kann auch kein Dritter irgendwelche zusätzlichen Daten in der Antwort des Servers verpacken.

Besteht die Verschlüsselung nicht, dann kann ein Dritter die angelieferten Daten sehr wohl ändern – und das kann vielfältige Konsequenzen haben. Dazu mal ein wie ich hoffe leicht verständliches Beispiel.

Sie sitzen also in einem Lokal und Ihr Laptop ist über das WiFi des Lokals mit dem Internet verbunden. Wie alle Gastwirte ist auch der Betreiber dieses Lokals sehr technophil veranlagt und kann den bei ihm eingesetzten Router problemlos selbstständig warten. Im Schlaf, sozusagen. Nur hat er leider die letzten 10 Sicherheitsupdates verschlafen und sozusagen, nicht installiert. Es war einfach mal wieder viel zu tun, im Lokal. Und darum hat er jetzt also einen Router, der leider von eher bösartigen Menschen übernommen wurde. Es laufen also Programme mit bösen Absichten drauf. (Das kommt deutlich häufiger vor als man meinen möchte [https://www.bing.com/search?q=router+malware] – und zwar nicht nur in Routern in Lokalen. Wissen Sie ob Ihr eigener Router zu Hause ohne Befall ist?)

Weil diese Programme auf dem Router zwischen Ihnen und dem Internet laufen – und weil Ihre Verbindung nicht verschlüsselt ist, können diese Programm mit Ihrem Datenstrom anstellen was immer sie wollen.

Eines der Dinge die solche Programme dann beispielsweise gerne tun (ist nicht an den Haaren herbeigezogen, sondern kommt in der Praxis tatsächlich vor) ist folgendes: Während sich die Webseiten-Daten auf dem Web von Server zu Ihnen befinden, bauen diese Programme zusätzliche Dinge in die Webseite rein. Das wären zum Beispiel Werbeeinblendungen, die vorher gar nicht da waren. Das kann das bösartige Programm natürlich nur tun, wenn Sie sich eine Webseite ansehen.

Aber angenommen, Sie sehen sich gar keine Webseite an, sondern laden ein Programm herunter, das Ihnen gerade empfohlen wurde. Dessen Bytes gehen aber auch durch den Router – und natürlich können diese auch verändert werden: Das Programm tut nach der Installation also plötzlich zusätzlich zu dem was es eigentlich tun soll auch noch andere Dinge. Zum Beispiel einen Teil Ihrer Festplatte vor Ihnen verstecken, und diesen Teil dann an den Meistbietenden zum Speichern „interessanter“ Bilder verkaufen.

Will man eigentlich nicht, oder?

Also: Keine Webseiten ohne SSL verwenden.

Und so erkennen Sie, ob eine Webseite SSL verwendet.

Die verschiedenen Browser haben leider alle eine etwas andere Darstellungsform zur Anzeige von SSL verschlüsselten Verbindungen. Steht aber ein der Adresszeile ein „https“ und kein „http“, dann ist die Verbindung verschlüsselt. Außerdem gibt es auch noch ein zusätzliches Icon: So sieht es beispielsweise im Edge (oben) und im Chrome (unten) aus.