Datenschutz – leider ein Totschlag-Wort und die meisten ein sehr abstrakter Begriff. Wir wollen Datenschutz aktiv betreiben und erklären die Hintergründe der Änderung von http:// auf https:// anhand unseres Beispiel-Nutzers Kunibert.
tl;dr Information: Lesezeit ca. 4 Minuten
Das Szenario
Kunibert ist Student der Druck- und Medientechnik und sitzt gerade mit seinem Notebook in einem Café mit öffentlichem WLAN-Zugang. Er hat soeben auf Facebook über die DMT-Wiki gelesen und dachte sich: „tolle Sache, registrier‘ ich mich doch gleich mal und schau, was da so geboten ist“.
Was Kunibert nicht weiß: mit ihm zusammen im Café sitzt auch Heinz Hacker, der ebenfalls mit seinem Laptop in dem öffentlichen WLAN surft. Heinz interessiert sich weniger für guten Cappuccino sondern vielmehr für die Daten, welche in dem WLAN so übertragen werden und lässt deswegen ein paar seiner Lieblingstools mitlaufen.
Kunibert hat per E-Mail die Zugangsdaten zu der DMT-Wiki erhalten und loggt sich ein. Da das per Mail verschickte Passwort allerdings zufallsgeneriert ist und er sich nicht merken kann, ändert er es auf sein gutes altes Standard-Passwort, welches er überall einsetzt. Dass das keine so gute Idee ist, hat er zwar schon einmal gehört, aber wer kann sich schon so viele verschiedene Passwörter merken.
Heinz Hacker ist begeistert. In dem Netzwerk befindet sich ein Nutzer, der auf der ungeschützten Seite http://www.fs05.wiki surft. Dieser Nutzer loggt sich gerade ein und und überträgt so seinen Benutzernamen und sein Passwort im Klartext. Heinz hat das alles mitgespeichert und beschließt, dem Nutzer einfach mal weiter auf die Finger zu schauen.
„Die DMT-Wiki ist schon gut gefüllt,“ denkt sich Kunibert, „aber zum Glück hab ich ja noch Semesterferien und es dauert noch ein bisschen, bis ich die richtig brauchen kann.“ So verlässt er die Seite, stöbert und kauft noch was bei ebay und bezahlt es gleich per PayPal. Danach checkt er gleich seinen Kontostand per Online-Banking, damit er weiß, wie viel er noch ausgeben kann und liest die restlichen E-Mails, welche nach den Käufen bei ihm eintrudeln.
Schnitt. Acht Wochen später. Kunibert ist kreidebleich. Sein Konto leergeräumt, seine Online-Identität gestohlen. Er fragt sich, wie das nur passieren konnte – er nutzt doch immer einen Virenscanner und hält auch sein System aktuell. Sein Online-Banking betreibt er außerdem mit dem von der Bank als sicher eingestuftes mTAN-Verfahren.
Die Analyse
Virenscanner und System aktuell, kein Trojaner auf dem Laptop – und trotzdem Opfer von Online-Kriminalität geworden: wie ist das also passiert?
Die Grundsteinlegung für das Problem waren in dem fiktiven Beispiel oben zwei Faktoren: ein Passwort für viele Dienste sowie die Nutzung von nicht gesicherten Webseiten für vertrauliche Daten (in dem Fall das Passwort). Dass das Konto leergeräumt werden konnte, war eine weitere Verkettung unglücklicher Umstände (vgl. verlinkten SZ-Artikel zu mTAN).
Gleiches Passwort = hohes Risiko
Das gleiche Passwort bei verschiedenen oder gar allen Online-Diensten zu verwenden, ist ein enormes Sicherheitsrisiko. Hätte Kunibert für die DMT-Wiki ein eigenes Passwort gewählt, wäre nur das „bekannt“ gewesen – und Heinz Hacker hätte lediglich Zugriff auf die Wiki gehabt – nirgends sonst.
Zwar verschlüsseln die meisten Anbieter die Passwörter und speichern nur die Hash-Werte, sicherstellen kann man das aber nicht. Wird dir bei der Passwort-vergessen-Funktion zum Beispiel dein eigens festgelegtes Passwort per E-Mail zugeschickt, wurde es im Klartext gespeichert. Wenn die Datenbank von diesem Dienst gehackt wird, ist das Passwort dann bekannt (so passiert bei der REWE Sammelkarten-Börse) und kann in Verbindung mit der E-Mail Adresse für einen enormen Schaden sorgen.
http:// vs. https://
Es kann also nicht garantiert werden, dass das Passwort sicher verwahrt wird. Oftmals kann aber auch nicht garantiert werden, dass das Passwort beim Anmelden sicher übertragen wird. In unserem Beispiel hat Kunibert das Passwort im Klartext übertragen: www.fs05.wiki war nur über http:// erreichbar.
https: Der eine Buchstabe mehr, nämlich s (steht hierbei für secure), hätte das ganze Drama um Kuniberts Daten, Online-Identität und Vermögen in unserem Beispiel verhindert. Bei den anderen von Kunibert besuchten Seiten war das auch der Fall: ebay, PayPal und gute Webmailer setzen alle auf https://, jedoch brachte das in dem Fall nichts mehr, weil die Anmeldedaten jedesmal dieselben waren. Heinz Hacker hätte zwar genauso mitbekommen, dass Daten von seinem Laptop zu anderen Servern übertragen werden – er hätte aber nicht mitbekommen, welche.
Denn anders als bei http, bei dem Benutzername und Passwort im Klartext übertragen wurden, setzt https auf eine verschlüsselte Verbindung. Das bedeutet, dass der Benutzername und das Passwort (und auch sämtliche andere eingegebenen Daten auf der Webseite) hier vorher in einen für den Mitlesenden nicht nachvollziehbaren Code umgewandelt wird und erst beim Server wieder „richtig“ ankommt. Damit das passieren kann, muss vorher ein sogenanntes SSL-Zertifikat ausgestellt werden, das in den meisten Fällen kostenpflichtig, von StartSSL hingegen auch in einer Gratisversion angeboten wird.
Auf diese Weiße kann leicht und effektiv verhindert werden, dass Dritte im Netzwerk (im Beispiel Heinz Hacker) vertrauliche Informationen mitlesen können. Facebook zum Beispiel hat die eigene Seite auch dahingehend geändert, dass kein Login mehr über die http://-Version möglich ist, sondern leitet automatisch auf die https://-Version weiter.
Dieses Verfahren wurde nun auch auf www.fs05.wiki eingerichtet – damit sich alle Nutzer der Plattform auch in öffentlichen WLANs beruhigt anmelden können und ihr Passwort nicht im Klartext rausschicken. Ganz gleich, ob sie Ihre Zugangsdaten nur für die Wiki oder auch andere Dienste verwenden.
Tipps für sichereres Surfen
Die DMT-Wiki mit SSL abzusichern ist nur ein kleiner Baustein für mehr Sicherheit im Netz. Viel wichtiger, als auf https:// zu achten, ist die Verwendung von möglichst vielen und möglichst unterschiedlichen Passwörtern.
Dass sich die kein Mensch im Kopf merken kann, ist klar. Doch dafür gibt es Passwort-Safes wie z. B. KeePass (gratis, OpenSource, mit Erweiterung auch Auto-Fill Funktion für Browser) oder viele weitere.
Das Problem ist schlicht, dass der Nutzer nie die Garantie hat, dass sein gewähltes Passwort vertraulich bleibt – oder nicht doch gestohlen oder abgefangen wird.
Verschlüsselte Verbindung und einzigartige Anmeldedaten – ein Weg zu mehr Sicherheit im Netz.
Wenn du dich in öffentlichen WLAN befindest und Anmeldedaten über nicht verschlüsselte Webseiten angeben musst, nutze am besten das CiscoVPN mit deinem Hochschulzugang – so werden sämtliche Daten verschlüsselt übertragen.