SSL-Sicherheitslücke: kein Grund zur Besorgnis

Wie die Ecole polytechnique fédérale de Lausanne (EPFL) [1] meldet, hat Professor Serge Vaudenay und sein Team vom Labor für Sicherheit und Kryptographie (LASEC) [2] eine Sicherheitslücke im Übertragungsprotokoll SSL (Secure Socket Layer) entdeckt. SSL wurde speziell für kritische Online-Transaktionen entwickelt und schützt diese durch 128-bit-Verschlüsselung. Ob eine Website das Protokoll nutzt, kann an dem Schlosssymbol in der Browser-Taskleite und an dem Kürzel https:// vor der Web-Adresse erkannt werden.

Die Lausanner Forscher schafften es mit einem selbst entwickelten Programm innert weniger als einer Stunde ein SSL-geschützes Passwort zu knacken, so die Pressemitteilung der EPFL. Anschliessend seien die Wissenschaftler in der Lage gewesen, die E-Mails der betroffenen Person zu lesen und in deren Namen Zahlungen auszuführen.

Die entdeckte Sicherheitslücke ist aber nur halb so schlimm wie viele Medien glauben machen wollen. Der amerikanische Sicherheitsexperte Avi Rubin erklärte gegenüber Reuters [3], dass die Methode der Schweizer Forscher nur bei E-Mail-Transaktionen funktioniere und auch dort nur eingeschränkt anwendbar sei. Ausserdem müsse es dem Hacker gelingen, Kontrolle über einen Netzwerkcomputer zu erlangen, der zwischen Sender und Empfänger geschaltet ist - ein sehr schweres Unterfangen.

Ähnlich äusserte sich auch Professor Vaudeney gegenüber New Scientist [4]. Die Attacke sei in der Praxis nur sehr schwer durchzuführen. Zudem stehe für Entwickler bereits eine "gepatchte" Version von OpenSSL im Netz bereit, die das Problem behebe [5].