Ausgehend von der Frage: Warum Daten überhaupt verschlüsseln?, geht dieser Artikel anhand von Beispielen auf direkte Konsequenzen für den Nutzer ein.
Man in the Middle – oder seit Edward Snowden Man in the Modem – Attacke
Das Prinzip eines MITM Angriffs ist recht einfach zu realisieren, da wie auch bei dem Versand von E-Mails, Daten standardmäßig nicht verschlüsselt übertragen werden (es gibt Ausnahmen, bei denen der Gesetzgeber eine verschlüsselte Verbindung vorschreibt, wie z.B. beim Onlinebanking). Wir nehmen mal das „Worst Case“ Szenario an: Onlinbanking mit einer nicht verschlüsselten Verbindung:
- Menschen auf dieser Welt, die nichts Gutes im Schilde führen, wollen nur Ihr Bestes – Ihr Geld. An Ihren Tresor zu Hause kommt man schwer heran und ohne den passenden Schlüssel wird das Ganze nicht gerade einfacher. Nun haben Sie aber aus Bequemlichkeit oder Unachtsamkeit den Schlüssel im Schloss des Tresors stecken lassen und jemand findet einen Zettel an Ihrer Haustür, auf dem Ihre Abwesenheit von zu Hause verzeichnet, ist sowie die Information welches Fenster sie zum Lüften ihrer Wohnung geöffnet haben. Es ist jetzt ein Leichtes mit den Informationen und dem Tresorschlüssel Ihren Tresor zu leeren. Für Sie allerdings wird es sehr schwer zu beweisen, das jemand ihren Tresor ausgeraubt hat, da weder Einbruchsspuren an Ihrem Haus noch an Ihrem Tresor zu finden sind. Dumm gelaufen – für Sie!
Analog zu o.g. Beispiel ist es nicht schwer an Ihrem Internetanschluss den Datenverkehr abzufangen. Dies geschieht z.b. über einen Man in the Middle Angriff bei dem sich jemand zwischen Ihnen und Ihrer Bank in den Datenstrom einklinkt. Jetzt sieht der Angreifer alle Datenpakete, die sie senden und empfangen, und kann somit leicht feststellen, wann sie sich bei ihrer Bank zwecks Onlinebanking einloggen möchten.
Werden Ihr Benutzername und Passwort nun unverschlüsselt übertragen, kann der Angreifer diese einfach abfangen und lesen. Somit hätte er ihren Tresorschlüssel und weiß wann sie bei ihrem Onlinebanking abwesend wären, da er sieht wann und ob sie eingeloggt sind. Sie tätigen ihr online Bankgeschäft und beenden die Verbindung und sind somit – analog zu o.g. Beispiel – von Ihrem Tresor abwesend. Der liebenswerte Angreifer, der nur nach Ihrem Besten sucht, hat nun alles was er braucht um in Ihrem Namen, sprich mit Ihrer Identität, Bankgeschäfte mit Ihrem Konto zu tätigen. Für Sie wird es jetzt allerdings wieder sehr schwer zu beweisen, dass Sie nicht die fraglichen Bankgeschäfte getätigt haben, schließlich wurde mit Ihrem Tresorschlüssel (Login) ihr Konto (Tresor) leer geräumt. Die einzige Möglichkeit zu beweisen, dass Sie niemals die fraglichen Überweisungen oder Kontobewegungen vorgenommen haben, wäre – analog zu o.g. Beispiel – wenn jemand gesehen hätte, dass der Angreifer durch ihr offenes Fenster in Ihre Wohnung gelangt ist. In der Onlinewelt ist das durch den Vergleich der IP-Adressen möglich, Ihre Bank zeichnet jede IP-Adresse z.Z. ihres Logins auf und ihr Internetdienstanbieter hat ebenfalls Kenntnis von ihrer IP-Adresse.
Um Ihnen und Ihrem Internetdienstleister, der Bank und den Behörden das mühsame Heraussuchen und Vergleichen der IP Nummern zu ersparen, wird der Datenverkehr nun verschlüsselt. Ein Angreifer, der Ihre Datenpakete zwischen Ihnen und Ihrer Bank jetzt abfängt, sieht zwar, dass dort Informationen ausgetauscht werden kann diese aber nicht mehr lesen. Eine nahezu nur theoretische Möglichkeit besteht dennoch den Datenverkehr mitzulesen. Beim Aufbau der verschlüsselten Verbindung tauschen Ihr Computer und Ihre Onlinebank einen Schlüssel aus, der fortan nur für diese Verbindung gilt und nur solange sie besteht. Der Angreifer müsste in einem Milliardstelsekundenbereich den Datenstrom abfangen und zu ihnen weiterleiten; allerdings wird das ihr Computer bemerken und Alarm schlagen, da die Zeitstempel des Schlüssels, die er von dem Bankserver erwartet, nicht mehr stimmen.
Zum Glück gibt es keine Bank mehr, die eine unverschlüsselte Verbindung zulässt. Viele Internetseiten bieten eine verschlüsselte Verbindung an, aktivieren diese aber nicht standardmäßig. Jetzt werden Sie sagen warum sollte ich z.B. zu meinem Internetanbieter eine verschlüsselte Verbindung aufbauen oder zu sonstigen Seiten auf denen eine Verifizierung meiner Identität erforderlich ist (Onlinespielportale wie die Steam Internetseite oder Facebook). Wie würden Sie es finden, wenn aus heiterem Himmel Bekannte auf Sie zukommen und fragen, ob Sie wirklich sexuelle Vorlieben für Kinder haben, Sie hätten es auf Facebook geschrieben (davon abgesehen würden Sie sicher unangenehmen Besuch bekommen von Leuten, die noch unangenehme Fragen stellen und Sie müssten wieder beweisen, dass Sie niemals so etwas in Betracht ziehen würden oder jemals etwas in der Richtung geschrieben hätten). Oder auf einmal wäre Ihre Internetverbindung und Telefonschluss abgemeldet, weil jemand auf dem Onlineportal Ihres Anbieters ihren Vertrag gekündigt hat. Dann müssten Sie wieder beweisen … – Sie kennen das Spiel ja jetzt 😉
Es gibt bereits sehr einfache Erweiterungen für Browser, die die verstecken Verschlüsselungsfunktionen vieler Internetseiten nutzen. Eine davon ist z.B. https-everywhere
by Speefak