ETH knackt Internet-Verschlüsselung
Die ETH Lausanne hat Fehler der Internet-Verschlüsselung SSL ausgenutzt und Passwörter abgehört. Damit könnten Kriminelle Geld von fremden Konten abheben.
Betroffene Unternehmen nehmen die Angelegenheit allerdings gelassen.
Der Aufruhr Ende letzter Woche war gross: «SSL geknackt», titelte die bei System-Administratoren beliebte Site Symlink.ch. «Sicherheitslücke bei SSL-Bibliotheken», alarmierte auch der Technologie-Ticker Heise.de.
Schlösschen als Sicherheits-Garant
Secure Socket Layer (SSL) ist eine Verschlüsselungs-Methode fürs Internet. Sie versteckt sensible Daten wie Passwörter oder Kreditkarten-Nummern beim Übertragen zwischen dem Anwender und dem Server einer bestimmten Internet-Seite.
Ein Schloss-Icon im Browser und die URL https:// zeigen dem Nutzer an, dass er mit einem Server SSL-verschlüsselt kommuniziert, beispielsweise beim Online-Einkauf oder beim E-Banking. Das so genannte SSL-Protokoll galt bisher als unknackbar und ist der Standard für sichere Internet-Transaktionen.
In einer Stunde geknackt
«Wir haben Fehler gefunden, die wir ausnutzen konnten», erklärt Serge Vaudenay, Professor der ETH Lausanne und Leiter des dortigen Labors für Sicherheit und Kryptografie (LASEC), gegenüber swissinfo.
Die Forscher haben in ihrer Versuchsanordnung einem Server falsche Daten-Pakete zugespielt, worauf dieser Fehlermeldungen zurückschickte, aus denen die Spezialisten Benutzer-Namen und Passwörter herausfiltern konnten. «Nach einer Stunde hatten wir das vollständige Passwort», sagt Vaudenay. Damit konnte sich das Team um den Professor als autorisierter Benutzer einloggen.
Nach dem erfolgreichen Knacken der SSL-Anwendung habe er unverzüglich die Verantwortlichen benachrichtigt, betont Vaudenay. Die neueste Version des SSL-Protokolls beispielsweise von OpenSSL hat dieses Sicherheitsloch bereits gestopft und ist damit vorerst wieder sicher.
Banken nicht beunruhigt
Die zwei Schweizer Grossbanken Credit Suisse und UBS, die beide SSL fürs E-Banking verwenden, geben sich gelassen. «Mit einem Passwort kann noch niemand eine Transaktion ausführen», beruhigt CS-Sprecher Georg Söntgerath. «Wir verwenden ein mehrstufiges Sicherheitssystem, wovon SSL nur ein Teil ist.» Die CS verlangt für eine Transaktion neben dem Passwort die Eingabe der Vertragsnummer und eines Codes, der jede Minute wechselt.
Ähnlich tönt es bei der UBS. Auch hier brauche es mehrere Elemente, um auf ein Konto zugreifen zu können. «Wir haben kürzlich sogar die Streichlisten abgeschafft und ein sichereres System eingeführt», erklärt Mediensprecher Serge Steiner gegenüber swissinfo.
Sorge ums Internet-Shopping
«Die Nachrichten aus Lausanne haben unsere Spezialisten sofort überprüft», sagt Bernhard Wenger, Sprecher der Zürcher Firma Telekurs Card Solutions, welche die europäische Internet-Bezahl-Plattform «Saferpay» betreibt. «Unsere Lösung entspricht höchsten Sicherheitsstandards und ist deshalb nach wie vor eine sichere Art, im Internet zu bezahlen.» Aber auch er muss einräumen: «Solche Meldungen stärken das Vertrauen der Konsumenten in das Internet-Shopping nicht.»
Der Detailhandels-Riese Migros ist selber Saferpay-Kunde. «Wir vertrauen weiterhin voll und ganz dem SSL-Protokoll», bestätigt auch Ernst Walz, zuständig bei der Migros für E-Commerce. «Es bräuchte beträchtliches Insiderwissen, um einen Schaden anzurichten.»
Bemerkenswerte Leistung ohne direkte Konsequenzen
Experten sind sich einig, dass Professor Vaudenays Abhör-Aktion anspruchsvoll und bemerkenswert ist. Unverzügliche Auswirkungen sehen sie aber keine.
SSL-Entwickler Paul Kocher beispielsweise verteidigt auf der Seite Slashdot.org die Technologie: «Das SSL-Protokoll selber hat keinen Fehler. Aber das macht die Angelegenheit keineswegs unwichtig.» Diese Sorte Angriffe müsse unbedingt im Auge behalten werden. Trotzdem könne weiterhin problemlos mit der Kreditkarte bezahlt werden, beruhigt er.
«Es ist eine technische Frage, die normale Konsumentinnen und Konsumenten nicht betrifft», so die Einschätzung von Guido Rudolphi von der Zürcher Firma Netmon, die auf Internet-Straftaten spezialisiert ist. «Ein Hack direkt in die Datenbanken einer Kreditkartenfirma wäre beispielsweise viel relevanter.»
Auch Vaudenay ist sich bewusst, dass sein Labor-Erfolg die SSL-Verschlüsselung nicht mit einem Schlag wertlos gemacht hat: «Ich habe keine Bedenken, meine Kreditkartennummer SSL-verschlüsselt zu übermitteln.»
swissinfo, Philippe Kropf
Forscher des Kryptografie-Labors der ETH Lausanne haben Fehler bei der Anwendung des SSL-Protokolls benutzt, um Passwörter herauszufiltern.
Die SSL-Verschlüsselung gilt als Standard bei sicheren Internet-Verbindungen wie beispielsweise E-Banking oder Online-Shopping. Die ETH alarmierte die SSL-Verantwortlichen, und das Sicherheitsloch wurde gestopft.
Handlungsbedarf sieht keine der Banken UBS und Credit Suisse. Beide verweisen darauf, dass SSL nur eines von mehreren Elementen sei, um eine Bank-Transaktion ausführen zu können. Auch die Migros will weiterhin auf SSL setzen.
Internet-Experten zollen den ETH-Forschern zwar Respekt für ihre Leistung, aber direkte Konsequenzen wollen sie daraus keine ableiten. Bezahlen mit der Kreditkarte im Web ist für sie immer noch sicher.
In Übereinstimmung mit den JTI-Standards
Einen Überblick über die laufenden Debatten mit unseren Journalisten finden Sie hier. Machen Sie mit!
Wenn Sie eine Debatte über ein in diesem Artikel angesprochenes Thema beginnen oder sachliche Fehler melden möchten, senden Sie uns bitte eine E-Mail an german@swissinfo.ch