Sicher dank SSL-Verschlüsselung… Wirklich?!
SSL-Verschlüsselung für eine sichere Datenübertragung.
… sind diese zu jedem Zeitpunkt Dank einer sicheren TLS-Verschlüsselung geschützt.
… verschlüsselt Ihre Daten sicher via SSL-Zertifikat.
Mit TLS/SSL Verschlüsselung sind Ihre Daten dabei sicher.
Solche oder ähnliche Aussagen sind Ihnen bestimmt schon häufig beim Online-Shopping oder anderweitigen Online-Aktivtäten begegnet. Aber was genau bedeutet das eigentlich, und wie werden hier welche Daten genau geschützt? Bevor diese Fragen beantwortet werden können, sollte zunächst kurz erläutert werden, was TLS/SSL genau bedeutet.
Was ist TLS/SSL?
TLS steht für Transport Layer Security und SSL für Secure Sockets Layer. Beides sind Verschlüsselungsprotokolle, die der sicheren Datenübertragung dienen. SSL ist dabei der Vorgänger von TLS und sollte aufgrund seiner unzureichenden Verschlüsslung nicht mehr angeboten werden. Obwohl SSL daher fast nirgendwo noch zur Anwendung kommt, ist gerade im deutschsprachigen Raum SSL als Synonym für TLS und für Transportverschlüsselung im Allgemeinen noch sehr verbreitet.
Wenn Sie mit Ihrem Handy im heimischen WLAN eine Suchanfrage für ein Katzenvideo stellen, baut ihr Router eine Verbindung mit dem Server Ihrer Zielseite über das Internet auf. Dazu werden über den sogenannten TLS-Handshake die Details der Verbindung und Verschlüsslung ausgehandelt und diese dann aufgebaut. Die nachfolgende Abbildung zeigt diesen Vorgang schematisch und vereinfacht. Die Suchanfrage und die Antwort sind dabei während des Transports verschlüsselt.
Das ist genau das, was Transportverschlüsselung bedeutet: Sie stellt (zusammen mit Zertifikaten und dem Web of Trust) sicher, dass Daten während der Übertragung verschlüsselt sind und bestätigt die Authentizität ihrer Ziel-Adresse. Dies erschwert sogenannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer zwischen die Kommunikationspartner schalten, um den Datenaustausch mitzulesen oder zu manipulieren. Im Klartext bedeutet das auch, dass bei einer TLS-Verschlüsselung jenseits des eigentlichen Transports kein Schutz der Daten gewährleistet ist. Sobald die Daten übertragen und auf dem Server gespeichert, in einer Datenbank abgelegt oder sonst wie verwendet wurden, besteht durch die Verwendung von TLS kein zusätzlicher Schutz.
Was bedeutet das für die IT-Sicherheit?
Natürlich sind der Schutz, die Integrität und die Authentizität von Informationen während der Übertragung wichtige Güter und verschlüsselte Verbindungen sollten immer bevorzugt werden. Direkte Angriffe auf das TLS-Protokoll sind je nach expliziter Implementierung nur sehr schwer umzusetzen (Heartbleed ist hierbei die historische Ausnahme). Auch das Einnehmen von Man-in-the-Middle-Positionen außerhalb von Lokalen Netzen und WLANs ist für eine Angreifer*in eine Herausforderung und setzt oft voraus, dass entweder bereits ein Gerät kompromittiert wurde, oder dass User aktiv Zertifikats-Warnungen ihres Systems ignoriert oder weggeklickt haben.
Weitaus entscheidender ist daher für die IT-Sicherheit, wie mit den Daten umgegangen wird, sobald diese nach der TLS-verschlüsselten Übertragung auf dem Server landen. Überspitzt gesagt ist es für Nutzer*Innen völlig unerheblich, dass Ihre persönlichen Daten bei der Übertragung verschlüsselt waren, wenn diese im Anschluss aufgrund einer Fehlkonfiguration des Servers frei über das Internet zugänglich sind. Diese Problematik verdeutlichten in der letzten Zeit schier endlose Sicherheitsvorfälle in Bezug auf Corona-Testzentren, bei denen persönliche Daten aufgrund von Konfigurationsfehlern sehr einfach einsehbar waren (Beispiele finden sich hier, hier, hier und hier.)
Damit lassen die eingangs erwähnter Phrasen, die sich so ähnlich auch auf den Seiten der erwähnten Testzentren fanden, für Nutzer*Innen leider keine direkten Rückschlüsse auf die IT-Sicherheit zu. Hier könnte man sich bestenfalls im Austausch mit dem jeweiligen Anbieter zum Beispiel erkundigen, ob regelmäßig Sicherheitsüberprüfungen oder Pentests zum Einsatz kommen, um sich zumindest einen oberflächlichen Eindruck darüber zu verschaffen, welche Bedeutung der Anbieter seiner eigenen IT-Security beimisst.