CR-online.de Blog

Warum auch die NSA mal lernen sollte, einen WWW-Server zu konfigurieren. (Und warum Facebook gefährlich ist.)

avatar  Matthias Bergt

Ich weiß, ich nerve mit meinen Forderungen nach IT-Sicherheit. Aber heute muss sich die NSA sagen lassen: Hättet ihr mal auf mich gehört. Dann wäre euch diese Peinlichkeit hier erspart geblieben. Das Üble: Weil auch Facebook und viele andere Unternehmen das Thema sichere Verschlüsselung eher sorglos angehen, waren (unter vielen anderen) auch solche WWW-Seiten von schweren Sicherheitsproblemen betroffen, die nur den Facebook-Like-Button einbinden.

Verschlüsselung sollte sicher sein

Dass personenbezogene Daten – und am besten jede WWW-Seite – nur verschlüsselt übertragen werden dürfen, hatte ich bereits dargelegt (zum Vortragsvideo von der DSRI-Herbstakademie; der Beitrag ist aktualisiert in CR 2014, 726 – 732 erschienen). Dort hatte ich auch dargestellt, welche Verschlüsselungsverfahren verwendet werden dürfen und welche nicht.

Neuer Angriff auf unsichere Verschlüsselung

Nun ist wieder einmal ein neuer Angriff auf veraltete Verschlüsselungsverfahren bekannt geworden: FREAK. Wer mit einem Browser mit Programmierfehlern (z.B. mit Apples Safari oder dem Android-Browser) im Netz surft, kann gefälschte Seiten untergeschoben bekommen, die sich aber mit einem gültigen HTTPS-Zertifikat ausweisen. Voraussetzung ist, dass der Server, der angegriffen werden soll, sogenannte Export-Verschlüsselung unterstützt – quasi eine Hintertür für die US-Geheimdienste, die aber für etwa 50 US-Dollar heute jedermann benutzen kann. Warum zum Teufel benutzen selbst Banken so etwas noch? Und Content-Delivery-Netzwerke wie Akamai, die damit ihre Kunden gefährden – und das sind fast alle großen Unternehmen? Und Facebook für den Like-Button, das damit Angriffe auf Seiten ermöglicht, die den Like-Button enthalten?

Schlechte Verschlüsselung ist gefährlicher als gar keine

Schon vor Monaten habe ich hier im Blog geschrieben: „Das Fatale an dieser Schlamperei ist: Der normale Nutzer bemerkt nichts davon. Weil gerade Banken viel Geld für “Extended Validation”-Zertifikate ausgeben, erscheint ein grünes Schloss in der Browser-Leiste. Der User denkt: Super, sicher! Und gibt seine vertraulichen Daten ein.“

Liebe Admins, wenn euer Server hier nicht mindestens ein „A“ bekommt, dann nutzt ihr bitte die nächsten 30 Minuten, um das Problem endlich zu lösen!

 

Mehr zum Autor: Matthias Bergt ist Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) sowie Parallelnormen des BDSG in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG), das Dienstvertragsrecht und die Abgrenzung der Vertragstypen in Schuster/Grützmacher (Hrsg.): IT-Recht Kommentar und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.