Auf der Sicherheitskonferenz »Black Hat« Ende Februar zeigte der White-Hat-Hacker Moxie Marlinspike, wie Cyberkriminelle an Passwörter, Kreditkarteninformationen oder Log-in-Daten von Internet-Nutzern herankommen können. Sie starten dazu eine Man-in-the-Middle-Attacke, bei der sich der Angreifer in die angeblich sichere Kommunikation zwischen User und Server einklinkt. Verisign gibt Tipps, wie sich solche Angriffe verhindern lassen.

Auf der renommierten IT-Sicherheitskonferenz Black Hat demonstrierte Moxie Marlinspike eine Methode, mit der Cyber-Kriminelle in den Besitz von Passwörtern, Kreditkartendaten und anderen persönlichen Daten von Internet-Nutzern kommen können.

Der Clou: Den Anwendern wird eine vermeintlich sichere Verbindung zum Server vorgegaukelt. Symbole in der Adresszeile des Browsers, etwa ein Schloss, sollen den Nutzer zusätzlich in Sicherheit wiegen. In Wirklichkeit läuft die Kommunikation über einen Dritten (den Angreifer), der sich in die SSL-Verbindung (Secure Socket Layer) zwischen Browser und Internet-Server einklinkt.

Aus diesem Anlass hat Verisign eine Reihe von einfachen Verhaltensmaßregeln für Internet-Nutzer und Betreiber von Web-Seiten zusammengestellt, mit denen sich die Gefahren, die von solchen Attacken ausgehen, zumindest verringern lassen.

Tipps für Internetnutzer

• Achten Sie auf grüne Schrift oder einen grünen Hintergrund in der Adresszeile des Browsers: Man-in-the-Middle-und Phishing-Angriffe können heute wirkungsvoll durch Extended-Validation-SSL-Zertifikate bekämpft werden. EV-SSL-Zertifikate bestätigen die Identität der Organisation, die Eigentümer einer Web-Site ist. Online-Kriminelle haben keinen Zugriff auf EV-SSL-Zertifikate und können eindeutige Merkmale solcher Zertifikate, wie eine grün hinterlegte Adresszeile im Internet Explorer oder bei Firefox, nicht nachmachen.
• Benutzen Sie immer die neuesten Versionen der Web-Browser wie Internet Explorer 7 oder höher, Firefox 3 oder höher, Google Chrome, Safari oder Opera.
• Nutzen Sie auch zusätzliche Methoden zur sicheren Anmeldung, wenn diese vom Betreiber der Webseite angeboten werden. Dazu zählen Token, die Einmal-Passwörter generieren, oder Einmal-Passwörter, die per SMS auf das Handy gesendet werden.
• Seien Sie besonders vorsichtig, wenn Sie E-Mails von unbekannten Absendern mit integrierten Web-Links erhalten. Cyber-Gangster versuchen mithilfe von solchen E-Mails, Nutzer auf Web-Seiten zu locken, auf denen Schadsoftware platziert ist. Diese Malware nutzt Sicherheitslücken von Browsern oder anderen Web-Anwendungen aus. Um auf sichere Webseiten zu gelangen ist es besser, die Adresse einzutippen und dabei »https://« statt nur »http://« einzugeben.

Tipps für Webseitenbetreiber

• Sichern Sie Ihre Kunden-Log-in-Seiten mit EV-SSL-Zertifikaten und informieren Sie Ihre Online-Kunden, dass eine grüne Schrift oder ein grüner Hintergrund in der Adresszeile des Browsers eine gesicherte Verbindung anzeigt.

• Bieten Sie niemals Kunden-Log-ins auf Seiten an, die in der Adresszeile mit http:// beginnen, sondern nur auf Seiten, die https:// in der Adresszeile anzeigen.
• Bieten Sie weitere Möglichkeiten für Ihre Kunden, um sich sicher anzumelden. Eine Zwei-Faktor-Authentifizierung, zusätzlich zum Log-in per Name und Passwort, erhöht die Sicherheit beim Zugriff auf Online-Konten.
• Verwenden Sie keine Links in E-Mails an Kunden und empfehlen Sie Ihnen, stets die neuesten Browser-Versionen einzusetzen.

1. Praxistipp: Wie man sich vor Man-in-the-Middle-Angriffen schützt
2. Hintergrundinformationen zum Angriff auf SSL-Verbindungen