Stabsstelle Informationssicherheit
Sicherheit

Verschlüsselung

Sicher surfen

Der moderne Mensch bewegt sich täglich auf der ganzen Welt - im World Wide Web: wir recherchieren, laden Dokumente oder Software herunter, erledigen Geldgeschäfte oder kaufen ein. Der Datenverkehr zwischen uns und den beteiligten Webservern läuft selten auf dem kürzesten Weg, und dies noch unverschlüsselt. Betreiber von Netzen und Knotenpunkten könnten mitlesen und manipulieren; wer sich in die Kommunikation einhängt, kann Daten ausspähen oder gar Malware unterschieben.

Abhilfe kann hier die Transportverschlüsselung bringen. Der Aufruf einer Webseite über den Zusatz https vor der Webadresse initiiert den Aufbau einer verschlüsselten Verbindung zur gewünschten Webseite. Server, die solche Verbindungen akzeptieren, weisen ihre Identität mit einem Zertifikat aus. Handelt es sich um ein gültiges Zertifikat einer anerkannten Ausgabestelle, so kann man anhand des Zertifikats auch überprüfen, dass man sich mit der richtigen Webseite verbindet.

Zum Einsatz kommt eine hybride Verschlüsselung: der Webserver und der Browser handeln einen Sitzungsschlüssel aus, der asymmetrisch verschlüsselt übertragen wird. Dieser Sitzungsschlüssel wird für den Rest der Sitzung zur symmetrischen Verschlüsselung der Kommunikation verwendet. Als Nutzer bemerkt man diese Verschlüsselung höchstens anhand von kurzzeitigen Statusmeldungen des Browsers oder im Fehlerfall.

Um eine verschlüsselte Verbindung aufzubauen, sollte eine Webseite mit vorangestelltem https:// aufgerufen werden, z.B. https://www.itsb.rub.de/themen/sicher-surfen.html. Browser bringen das nötige Rüstzeug bereits mit. Sie interpretieren den Website-Aufruf über https, prüfen Plausibilität und zeitliche Gültigkeit des vorgewiesenen Zertifikats und bauen die verschlüsselte Verbindung zur Webseite auf. Sitzungsschlüssel und Zertifikate sind im Browser gespeichert.

Kommt die verschlüsselte und zertifizierte Verbindung zustande, symbolisieren die Browser dies in der Regel durch ein grünes, geschlossenes Schloss-Symbol. Die Verbindung ist jetzt abhörsicher verschlüsselt. Der Nutzer kann sicher sein, dass die Verbindung auch zur gewünschten Webseite aufgebaut wurde.

 

Das könnte Sie auch interessieren

Bei Schwachstellen im Browser kann man sich bereits beim Ansurfen von Webseiten mit Malware infizieren. Aktualisierungen der Browser-Hersteller sollte man also so schnell wie möglich installieren, um die Gefahr gering zu halten. Es empfiehlt sich, Aktualisierungen automatisch vom Browser vornehmen zu lassen. Die meisten Browser bieten ein solches Auto-Update an. Auf Windows- oder Apple-Systemen vorinstallierten Browser (Safari, Internet Explorer und Edge) werden in der Regel mit den Updates der Betriebssysteme aktualisiert.

zur Startseite

Bildquellen: pixabay.com | erhui1979
ITSB