Auch diese Woche gab es mal wieder eine Sicherheitswarnung, die Internetbenutzer aufgeschreckt hat. Experten haben herausgefunden, dass die sog. sichere Datenübertragung zwischen Browser und Webservern teilweise nicht ausreichend geschützt sind. Mit  etwas Aufwand lassen sich die Daten mitlesen, die da übertragen werden. Die als “Freak” bekannt gewordene Sicherheitslücke hat nach und nach immer größere
Ausmaße angenommen. War man anfangs davon ausgegangen, dass nur wenige Browser betroffen sind, wurde nach und nach klar: Es sind doch viele betroffen.


Erst mal zum Verständnis: Welche Sicherheitslücke wurde da entdeckt und wieso wird sie als gefährlich eingestuft?

Experten haben herausgefunden, dass Browser wie Safari oder der Browser in Android eine deutlich schwächere Verschlüsselung verwenden als eigentlich möglich wäre. Sie lassen sich also überreden, weniger solide und gut zu verschlüsseln als möglich.

Das  wiederum ermöglicht es Angreifern, den Datenverkehr abzuhören und die betroffenen User mit überschaubarem Aufwand auszuspionieren, weil die Browser einen antiquierten Sicherheitsstandard verwenden.

Welche Browser und welche User sind betroffen?

Zuerst war man davon ausgegangen, nur Apples Safari Browser wäre betroffen, sowohl auf iPhone und iPad wie in Apples Betriebssystem Mac OS X. Auch der in Android fest eingebaute Browser ist betroffen. Alle anderen Browser galten anfangs als sicher. Aber mittlerweile weiß man: Das war ein Trugschluss. Mittlerweile weiß man: Nicht nur der Standard-Browser in Android und Safari sind betroffen, sondern auch der Google-Browser Chrome, hier allerdings nur unter Android und Mac OS X.

Für Mac OS X hat Google bereits ein Update fertig. Auch Opera und Opera Mini sind betroffen, nicht für Windows. aber für Android, iOS, Mac OS X und Linux) sowie der Internet Explorer, den es nur für Windows gibt und der Browser in Blackberry. User, die diese Browser benutzen, müssen derzeit vorsichtig sein.

mac-keyboard

Gibt es schon Updates?
Nein, nur für Chrome für Mac OS X, alle anderen Browser werden gerade bearbeitet. Die Hersteller haben Updates angekündigt, sie sind aber noch nicht da. Sobald sie da sind, sollte man die Updates einspielen und benutzen.

Wie groß ist das Sicherheitsrisiko?
Das Risiko ist überschaubar. Denn man muss schon individuell angegriffen werden. Das bedeutet, es muss sich jemand die Mühe machen, meinen Datenverkehr abzuhören und ich muss eine Webseite ansteuern, die den niedrigen Verschlüsselungsstandard ebenfalls unterstützt. Dann muss sich der Angreifer auch noch die Mühe machen, die Verschlüsselung zu knacken. Aber es geht ums Prinzip: Browser sollten grundsätzlich die maximal mögliche Sicherheit bieten und nicht die minimal mögliche.

Wieso bieten die Browser denn solche antiquierten Verschlüsselungen überhaupt noch an?

Dafür gibt es einen Grund: Die US-Regierung wollte es lange Zeit so. Bis Ende der Neunziger hat die US-Regierung amerikanischen Firmen verboten, Software mit starker Verschlüsselung zu exportieren. Ins Ausland mussten sie bis dahin Programme mit absichtlich geschwächter Verschlüsselung verkaufen. Erlaubt waren für das RSA-Kryptosystem maximal 512-Bit-Schlüssel, genau das, was die Browser auch heute noch verwenden. Dabei gilt eine Verschlüsselung mit 512 Bit als knackbar.

Wieso wurde dieses Sicherheitsleck eigentlich “Freak” getauft?

Jedes Sicherheitsleck und jede Bedrohung bekommt einen Namen, nicht immer so leicht einprägsam wie in diesem Fall, aber doch durchaus öfter. Freak ist eine Abkürzung und angelehnt an das englische “Factoring RSA-EXPORT Keys“. Eine Anspielung auf das Problem, das hier entdeckt wurde. Ein Leck bei der Verschlüsselung.