Internet Security

Sicher ist nicht gleich sicher!

Die sichere Kommunikation zwischen Browser und Webservice ist vielfältig. Einfache Zertifikate mit kurzen Schlüssellängen haben ebenso Vorteile wie aufwendigere Zertifikate mit Identitätsprüfung und langen Schlüsseln.

Internet Security

Websurfer sollten auf das ,,s“ achten, wenn sie sensible Daten übertragen, heißt es immer wieder. Das s, das das übliche http:// vor einer Webadresse zum https:// macht – s wie sicher bzw. secure. Doch dieser Tipp ist veraltet, denn manche Browser belästigen ihre User gar nicht mehr mit dem vermeintlich unnötigen Buchstabensalat, sondern schreiben nur noch die Domain in die Adresszeile. Sie verschlucken die Angabe, dass die Inhalte mit dem Hyper Text Transfer Protocol übertragen wurden. Stattdessen rücken Symbole und farbige Flächen in den Vordergrund. Hier gab es in den vergangenen Jahren eine gewisse Konsolidierung. Während früher jeder Browser-Hersteller die Farben blau, gelb, rot und grün mehr oder weniger willkürlich einer Bedeutung zuordnete, sind sie sich inzwischen einigermaßen einig. Nutzer können also davon ausgehen: Ein grünes Symbol steht für eine optimal gesicherte Verbindung – das ist etwa beim Online- Banking üblich. Firefox, Internet Explorer und Safari zeigen mit einem grünen Schloss an, dass die Kommunikation zwischen Browser und Website verschlüsselt ist. Und nicht nur das: Eine Zertifizierungsstelle hat bestätigt, ,,dass der Besitzer oder Betreiber der Website ein Unternehmen ist, das legal der im Zertifikat und auf der Sicherheitsstatusleiste angegebenen Rechtsordnung unterworfen ist“, wie es beispielsweise in der Windows-Hilfe heißt. Nur Google Chrome tanzt etwas aus der Reihe: Hier müssen Anwender darauf achten, dass auch der Name des Unternehmens ,etwa der Bank neben dem grünen Schloss eingeblendet wird.

Standard-SSL am verbreitetsten

Bei den meisten verschlüsselten Verbindungen ist die Identität des Zertifikatsinhabers jedoch nicht bestätigt. Das Sicherheitszertifikat bestätigt dann lediglich, dass die Domain verifiziert ist. Mozilla schreibt dazu: ,,Wenn eine Domain verifiziert wurde, so bedeutet dies, dass die Betreiber der Website ein Zertifikat gekauft haben, welches beweist, dass ihnen die Domain gehört und das die Website nicht vorgetäuscht ist.“ Firefox und Safari blenden in diesem Fall ein graues Symbol ein, bei Microsoft ist es weiß. Solche Standard-Zertifikate sind die verbreitetsten. Viele kleine Websites verwenden sie, aber beispielsweise auch Facebook und Google. Es ist sichergestellt, dass Daten verschlüsselt mit dem Server ausgetauscht werden, der unter der im Zertifikat genannten Adresse erreichbar ist. Es ist aber anders als bei den Banken nicht klar, dass tatsächlich die Unternehmen Google bzw. Facebook die Server betreiben. Das ist nur bei den erweiterten Zertifikaten (mit grünem Symbol) gegeben, die gedacht sind für Dienste, bei denen es Web-Surfern besonders wichtig ist, dass sie Daten mit einer identifizierbaren Gegenstelle austauschen.

Es gibt eine weitere Variante, die zwischen dem einfachen Standard-SSL und dem mit aufwändigen Identitätsprüfungen verbundenen erweiterten Zertifikat liegt. Organisations-SSL-Zertifikate werden unkompliziert an Unternehmen mit Handelsregistereintrag vergeben. ,,Wer mit Leuten kommuniziert, denen es auch darauf ankommt, dass die Gegenstelle authentifiziert werden kann, dem kann man kein Standard SSL-Zertifikat empfehlen sondern mindestens ein Organisations-SSL- Zertifikat,“ sagt Gerhard Oppenhorst, Geschäftsführender Gesellschafter des IT- Sicherheits-Dienstleisters ESC in Halle. Auch wenn nur wenige Kunden auf die Details achten mögen: Um den einen von hunderten zufrieden zu stellen, dem es wichtig ist, lohnen sich die Mehrkosten für Organisations-SSL oder sogar ein erweitertes Zertifikat, glaubt Oppenhorst.

Auf die Länge kommt es an

Zurück zu den bunten Symbolen im Browser: Die sind anklickbar und offenbaren daraufhin Details zum Zertifikat, mit dem die Verbindung verschlüsselt wird. So erfährt man beispielsweise Näheres zur Zertifizierungsstelle und zur Schlüssellänge. Google und Facebook etwa verwenden 128 Bit lange Schlüssel, zertifiziert von VeriSign, der Musikdienst Spotify setzt hingegen auf ein Comodo- Zertifikat mit 256 Bit. Für Website-Betreiber ist die Zertifikate-Landschaft also viel weiter aufgefächert als es die simplen Schloss-Symbole vermuten lassen, die die Nutzer normalerweise sehen. ,,Mit 128 Bit Schlüssellänge kommen auch ältere Smartphones zurecht „, erklärt Gerhard Oppenhorst, ,,für Business-Anwendungen sind aber 2048 Bit Standard.“ Je länger der Schlüssel ist, desto schwerer ist die Verschlüsselung aufzubrechen.

Nicht leicht zu beantworten ist die Frage, welcher Zertifikate-Aussteller der richtige ist. Ihm muss der Betreiber eines Servers vertrauen, denn außer ihm ist der Aussteller der einzige, der den geheimen Teil des Schlüsselpaars kennt.