Graph shape

Zurück zum blog

Wie sicher ist die SSL-Verschlüsselung und was bedeutet das?

Thumb bilendo joseph

Joseph Strietzel am 10.07.2018

Wer oft im Internet surft, dem ist sicher schon bei einigen Seiten ein grünes Schloss neben der Adresszeile aufgefallen. Dieses Symbol gibt an, ob die eingegebenen Daten mithilfe aktueller Verschlüsselungstechnologien sicher übertragen werden und somit gegen unberechtigte Fremdzugriffe geschützt sind. Eines dieser Verschlüsselungsprotokolle ist das Transport Layer Security (TLS), besser bekannt unter der ehemaligen Bezeichnung Secure Sockets Layer (SSL).

Weshalb sind derartige Technologien nötig, wie funktionieren sie und welche Auswirkungen hat eine sichere Verschlüsselungstechnologie auf den Austausch persönlicher Daten?

Datendieben eine Nasenlänge voraus

Wo sensible Informationen weitergeleitet werden, sind unberechtigte Zugriffe unerwünscht. Schon im alten Rom wurden kriegswichtige Befehle verschlüsselt übermittelt. Zwar sind seit dieser Zeit etwa 2000 Jahre vergangen, die Problematik bleibt aber weiter bestehen - denn dass sich manche Hacker nicht immer an gesetzlichen Vorgaben stören, sondern versuchen, in irgendeiner Form Profit aus erbeuteten Daten zu schlagen, ist weitläufig bekannt.

Um derartigen Angriffen gewappnet entgegentreten zu können, stellte das Unternehmen Netscape Communications im Jahr 1994 die erste Version der Verschlüsselungstechnologie SSL vor, die schließlich - stetig weiterentwickelt - 1999 in TLS (Transport Layer Security) umbenannt wurde und von diesem Zeitpunkt an regelmäßig unter dem neuen Namen weiterhin aktualisiert wird.

Auch durch die Neuregelung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) steigt die Nachfrage nach Sicherheitszertifikaten an. Seit Inkrafttreten im Mai 2018 müssen Webseitenanbieter eine sichere Übertragung personenbezogener Daten gewährleisten.

549-SSL-Verschluesselung

Aus SSL wurde TLS - wie sicher ist das Verschlüsselungsprotokoll wirklich?

Die Funktionsweise von SSL/TLS

Um eine gesicherte Verbindung herzustellen, identifiziert sich der Server gegenüber dem Client, also dem Anwender, mit einem Zertifikat. Daraufhin sendet entweder der Client eine geheime Zahlenfolge, die über den öffentlichen Schlüssel des Servers verschlüsselt wurde. Oder aber Client und Server berechnen über das sogenannte Diffie-Hellman-Schlüsselaustauschverfahren, bei dem zwei Kommunikationspartner über eine öffentliche, abhörbare Leitung einen geheimen Schlüssel erstellen, einen geheimen Code, aus dem ein weiterer Schlüssel berechnet wird, der für die folgende verschlüsselte Kommunikation verwendet wird.

Neben einem grünen Schloss wird das Zertifikat auch durch ein “https” (“Hypertext Transfer Protocol Secure”) vor der Internetadresse sichtbar. Webseiten ohne sicheres Hypertext-Übertragungsprotokoll weisen sich hingegen durch ein schlichtes “http” aus.

Wie sicher ist sicher genug?

Absolute Sicherheit kann und wird es wohl nie geben, Softwareentwickler tun aber alles dafür, Hackern immer mindestens eine Nasenlänge voraus zu sein.

Insgesamt gibt es drei nach ihren Anforderungen zu unterscheidende Zertifizierungslevel:

  • Domain-Validated-Zertifikat (DV-SSL)

Weit verbreitet ist das Domain-Validated-Zertifikat, bei dem die Domain - also die Internetseite - recht einfach überprüft wird: Die Zertifizierungsstelle sendet eine E-Mail an den Auftraggeber. Bestätigt dieser, der Inhaber der Webseite zu sein, erhält er für gewöhnlich innerhalb weniger Minuten das Zertifikat.

Ausreichend ist dieses Zertifikat etwa für Blogs oder Seiten, auf denen keine kritischen persönlichen Informationen eingegeben werden.

  • Organisation-Validation-Zertifikat (OV-SSL)

Höhere Anforderungen stellt das Organisation-Validation-Zertifikat an den Auftraggeber: Neben einer Überprüfung der Domain müssen zusätzliche Dokumente, wie etwa ein Auszug aus dem Handelsregister, eingereicht werden.

Dieses Zertifikat bietet in der Regel einen geeigneten Schutz für die meisten Firmenwebseiten.

  • Extended-Validation-Zertifikat (EV-SSL)

Die höchsten Anforderungen werden bei dem erweiterten Validierungs-Zertifikat gestellt: Neben einem aufwendigen Valdidierungscheck wird die gesamte Datenübertragung über eine 256-Bit-Verschlüsselung abgewickelt, die bis zum heutigen Zeitpunkt als unknackbar gilt.

Besonders Banken, Versicherungen und andere Finanzdienstleister greifen auf dieses Zertifikat zurück, um ihren Kunden maximalen Schutz zu bieten.

In der Vergangenheit gab es zwar eine Vielzahl von Phishing-Versuchen, die aber vor allem dann erfolgreich waren, wenn veraltete Zertifikate - und somit nicht mehr sichere Verschlüsselungstechniken - Verwendung fanden oder gefälschte Websites echte Zertifikate zweifelhafter Zertifizierungsstellen nutzten.

Mit der Einführung des Extended-Validation-SSL-Zertifikats (“EV SSL Zertifikat”) ist die Sicherheit der Seiten, die es verwenden, deutlich gestiegen. Für den Nutzer wird das Zertifikat dadurch erkennbar, dass neben dem Schloss-Symbol auch der Firmenname grün hinterlegt angezeigt wird.

Fazit

Es besteht die grundlegende Notwendigkeit, Daten und deren Übertragung zu schützen. Durch die Verwendung von SSL-/TLS-Verschlüsselungen kann ein hohes Maß an Sicherheit gewährleistet werden. Der eigene Verstand sollte beim Surfen im Internet dennoch immer wachsam sein und jeder Nutzer vor der Eingabe sensibler Informationen darauf achten, ob die aufgerufene Internetseite seriös ist und ihre Authentizität durch entsprechende Zertifizierungen belegen kann.

Passende Themen

Digitalisierung

7 Min.

EU-DSGVO - Die neue EU-Datenschutz-Grundverordnung

Julia Urban
Julia Urban

28.02.2018

Digitalisierung

4 Min.

SaaS - die anwenderfreundliche Ebene des Cloud-Computings

Joseph Strietzel
Joseph Strietzel

10.10.2017