Der moderne Mensch bewegt sich täglich auf der ganzen Welt - im World Wide Web: wir recherchieren, laden Dokumente oder Software herunter, erledigen Geldgeschäfte oder kaufen ein. Der Datenverkehr zwischen uns und den beteiligten Webservern läuft selten auf dem kürzesten Weg, und dies noch unverschlüsselt. Betreiber von Netzen und Knotenpunkten könnten mitlesen und manipulieren; wer sich in die Kommunikation einhängt, kann Daten ausspähen oder gar Malware unterschieben.
Abhilfe kann hier die Transportverschlüsselung bringen. Der Aufruf einer Webseite über den Zusatz https vor der Webadresse initiiert den Aufbau einer verschlüsselten Verbindung zur gewünschten Webseite. Server, die solche Verbindungen akzeptieren, weisen ihre Identität mit einem Zertifikat aus. Handelt es sich um ein gültiges Zertifikat einer anerkannten Ausgabestelle, so kann man anhand des Zertifikats auch überprüfen, dass man sich mit der richtigen Webseite verbindet.
Zum Einsatz kommt eine hybride Verschlüsselung: der Webserver und der Browser handeln einen Sitzungsschlüssel aus, der asymmetrisch verschlüsselt übertragen wird. Dieser Sitzungsschlüssel wird für den Rest der Sitzung zur symmetrischen Verschlüsselung der Kommunikation verwendet. Als Nutzer bemerkt man diese Verschlüsselung höchstens anhand von kurzzeitigen Statusmeldungen des Browsers oder im Fehlerfall.
Um eine verschlüsselte Verbindung aufzubauen, sollte eine Webseite mit vorangestelltem https:// aufgerufen werden, z.B. https://www.itsb.rub.de/themen/sicher-surfen.html. Browser bringen das nötige Rüstzeug bereits mit. Sie interpretieren den Website-Aufruf über https, prüfen Plausibilität und zeitliche Gültigkeit des vorgewiesenen Zertifikats und bauen die verschlüsselte Verbindung zur Webseite auf. Sitzungsschlüssel und Zertifikate sind im Browser gespeichert.
Kommt die verschlüsselte und zertifizierte Verbindung zustande, symbolisieren die Browser dies in der Regel durch ein grünes, geschlossenes Schloss-Symbol. Die Verbindung ist jetzt abhörsicher verschlüsselt. Der Nutzer kann sicher sein, dass die Verbindung auch zur gewünschten Webseite aufgebaut wurde.
Kann keine verschlüsselte Verbindung aufgebaut werden, so signalisieren die Browser dies in der Regel durch andersfarbige Symbole (z.B. ein geöffnetes rotes Schloss) und durch eine Meldung zum jeweiligen Zertifikatsproblem. Folgende Fehlersituationen treten häufig auf:
Jeder Zertifikatfehler sollte geprüft und nach den Umständen beurteilt werden. Bei jeglichem Zweifel an der Seriösität der Webseite sollte man vom Besuch absehen. Möchte man die Seite trotz der Zertifikatswarnung besuchen, so ist dies durch Bestätigung der Ausnahme durchaus möglich ("Ich kenne das Risiko") - auf die dauerhafte Speicherung dieser Ausnahme kann man in der Regel verzichten.
Für Chrome, Firefox und Opera hat die amerikanische Nichtregierungsorganisation Electronic Frontier Foundation (EFF) die Browser-Erweiterung HTTPS Everywhere entwickelt. Diese ruft Webseiten stets mit einer verschlüsselten Verbindung auf - sofern die Webseite das zulässt, auch wenn der Aufruf oder der Link über http erfolgte.
Über VPN lässt sich ein entfernter Rechner sicher verschlüsselt mit einem Netz, z.B. dem RUB-Netz, verbinden. Der Datenverkehr zwischen dem entfernten Rechner und dem angebundenen Netz wird komplett verschlüsselt. Der entfernte Rechner wird somit quasi Teil des angebundenen Netzes und darf gegebenenfalls spezielle Ressourcen nutzen.
Zahlreiche Dienste, Ressourcen und interne Webseiten an der Ruhr-Universität sind von außen nur erreichbar, wenn man eine VPN-Verbindung nutzt.
Bei Schwachstellen im Browser kann man sich bereits beim Ansurfen von Webseiten mit Malware infizieren. Aktualisierungen der Browser-Hersteller sollte man also so schnell wie möglich installieren, um die Gefahr gering zu halten. Es empfiehlt sich, Aktualisierungen automatisch vom Browser vornehmen zu lassen. Die meisten Browser bieten ein solches Auto-Update an. Auf Windows- oder Apple-Systemen vorinstallierten Browser (Safari, Internet Explorer und Edge) werden in der Regel mit den Updates der Betriebssysteme aktualisiert.
Webseiten, die personenbezogene Daten über ein Kontaktformular übertragen, sind nach der DS-GVO mit angemessenen technischen und organisatorischen Maßnahmen abzusichern. Art. 32 Abs. 1a) nennt dazu ausdrücklich die Verschlüsselung als technische Maßnahme.
Mit dem zentralen Webserver und dem RUB-FormMailer können Einrichtungen der RUB rechtssicher verschlüsselte Seiten mit Web-Formularen erstellen. Um den Datenschutz-Anforderungen zu genügen, muss für jedes Web-Formular, das personenbezogene Daten überträgt, eine angepasste Datenschutzerklärung vorgehalten werden.
Bildquellen: pixabay.com | erhui1979
ITSB