Die Sicherheit eines Computer-Systems ist eine wichtige Angelegenheit, denn Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016. Man will aber nicht nur die Computer schützen, sondern auch die Anwender, die diesen Computer benutzen und auf diesen Computern Daten ablegen. Mit diesem Text will ich Ihnen einen Weg zeigen, wie die Übertragung von Daten zwischen Ihnen (genauer: Ihrem PC) und einem Server abgesichert wird. Und ich will zeigen, daß auf einem Computer dieser Stadt Sicherheit kleingeschrieben wird.
TLS
Das Thema nennt sich TLS, und diese Buchstaben stehen für Transport Layer Security. Gemeint ist damit die Verschlüsselung des Transports von Daten zwischen den beiden Endpunkten einer Kommunikation. Ein Beispiel: sie wollen auf Ihr Konto schauen. Auf Ihrem Computer rufen Sie dazu die entsprechende Seite Ihre Bank auf. Der Transport der Daten zwischen Ihrem Computer und dem Server der Bank findet dann in verschlüsselter Form statt, denn niemand soll diese Daten mitlesen können, auch nicht auf dem Weg zwischen Ihrem Computer und dem Server der Bank. Also werden die Daten auf Ihrem Computer verschlüsselt und danach auf den Weg geschickt. Der Server der Bank nimmt die verschlüsselte Nachricht entgegen, entschlüsselt sie und hat jetzt wieder Klartext. Anhand dieses Textes erkennt er Ihre Anfrage, sucht die Daten zu Ihrem Konto zusammen, packt sie in eine entsprechende Seite und verschlüsselt das alles. Danach gehen die Daten auf die Reise vom Bank-Server zurück zu Ihrem Computer, der diese (verschlüsselten) Daten entgegennimmt, wieder entschlüsselt und den erhaltenen Text auf dem Bildschirm anzeigt. Somit kann niemand Ihre Daten lesen, wenn sie auf dem Weg zu Ihrem Computer (bzw. auf dem Weg zum Bank-Server) sind. Und wenn er die Daten doch mitliest, dann erhält er die verschlüsselten Daten, also Buchstabensalat. Diesen Salat in eine lesbare Form zu bringen sollte so schwierig sein, daß der Lauscher es lieber unterlässt.Und TLS ist das Schlagwort, unter dem die Methoden zur sicheren Kommunikation zwischen 2 Computern zusammengefasst werden. Ich möchte Ihnen hier nicht erklären, wie dieses TLS die Sicherheit der Übertragung erreicht Dazu müsste ich tief in ein Teilgebiet der Mathematik eintauchen, da würden Sie mir vermutlich nicht folgen können. Und ob ich das alles so verstehe, das will ich auch mal offen lassen. Aber ich möchte Ihnen trotzdem einige beachtenswerte Punkte zeigen.
Woran erkennen Sie jetzt, daß Ihre Daten verschlüsselt werden? An einem Beispiel möchte ich Ihnen dies zeigen. Für meine Beschreibung verwende ich den Firefox1), ein Beispiel mit dem Internet Explorer folgt dann später in diesem Text.
Nassauische Sparkasse
Am Beispiel einer Bank möchte ich den Sachverhalt verdeutlichen. Sie erreichen die Seite der Nassauischen Sparkasse über diese Adresse: Naspa Nassauische Sparkasse. Hier sehen Sie einen kleinen Ausschnitt aus dem Bild, mit dem sich die Naspa auf meinem Computer präsentierte:
Bitte beachten Sie die beiden roten Kringel, die ich angebracht habe. Im ersten Kringel sehen Sie ein Vorhängeschloß, das soll die verschlüsselte Kommunikation symbolisieren. Im zweiten Kringel sehen Sie die Buchstaben: https. Bei ungesicherten Seiten finden Sie dort nur die Buchstaben http (also ohne das s), bei sicheren Seiten (=Seiten mit verschlüsselter Kommunikation) finden Sie dort https, also die gleichen Buchstaben, aber mit angehängtem Buchstaben s. Das s steht dabei für secure (=sicher).
Bitte achten Sie zukünftig auf diese Symbole.
Aber wie sicher ist dies jetzt?
Jetzt kommt das TLS ins Spiel. Im Rahmen von TLS sind verschiedene Stufen der Qualität und Komplexität der Verschlüsselung definiert worden, die Sie der Wikipedia-Seite zu TLS entnehmen können. Die Arbeit an einer Vorläufer-Version von TLS begann 1994; zwischenzeitlich ist die Rechenleistung der Computer massiv gestiegen, es sind ja auch über 20 Jahre bis zum heutigen Tag. Und vieles, was 1994 noch sicher war, kann man heute ohne grösseren Aufwand knacken und damit lesen. Ausserdem fand man in den alten Verfahren etliche Schwachstellen, die man ausmerzte und somit neue Versionen der entsprechenden Software herausbrachte.
Sicherheit gibt es nicht in absoluter Form; eine Kommunikation kann nur sicher nach dem heutigen Stand der Technik sein. Und deshalb ist es empfehlenswert, ein Computer-System auf dem aktuellen Stand zu halten. Um beim Beispiel Naspa zu bleiben: welche Version setzt die Naspa bei Ihrem Internetauftritt ein? Ist diese Version auch sicher? Und das möchte ich Ihnen jetzt zeigen.
TLS Version x.y?
Schauen Sie sich bitte diese Bilder an2): |
 |
 |
| Seiteninformation | Seiteninformation Seite 2 |
Seiteninformation Seite 3 |
Das erste Bild erhalten Sie, wenn Sie auf das kleine Icon i (=Seiteninformation) klicken. Sie finden dieses Icon im Firefox direkt neben dem Icon des Vorhängeschlosses. Nach dem Klicken wird Ihnen das abgebildete Fenster angezeigt. Dort können Sie lesen: Sichere Verbindung. Alles in Ordnung, sieht gut aus? Klickt man jetzt auf das Grösser-Zeichen am rechten Bildrand3), so erhält man das im Bild 2 dargestellte Fenster. Sieht doch weiterhin gut aus? Klickt man jetzt auf den Text Weitere Informationen, so erhält man das Fenster des dritten Bildes. Bitte werfen Sie insbesondere einen Blkcik auf die Zeile, die ich mit einem roten Kringel markiert habe, insbesondere auf das Ende der Zeile: TLS-1.2.
Die Seite der Napsa ist sicher, denn das ist die letzte und somit aktuelle Version von TLS, die das Unternehmen Naspa hier einsetzt.
Ich habe dies einmal weitere Seiten geprüft und möchte Ihnen hier die Ergebnisse präsentieren:
| www.welt.de | www.heise.de | www.google.de |
|---|---|---|
 |
 |
 |
Sie sehen, diese Form der sicheren Kommunikation ist nichts aussergewöhnliches. Diese 3 Seiten Welt, Heise und Google verwenden diese Technik, und zwar verwenden alle Seiten diese in der aktuellen Version, also TLS 1.2.
Nun will ich in diesem Blog IT-Themen innerhalb dieser Stadt Wiesbaden beschreiben, wenn auch nicht nur auf diese Stadt bezogen. Also schaue ich mir einmal die offizielle Seite der Stadt Wiesbaden an:
Sie erkennen, daß diese Seite keine Verschlüsselung verwendet. ist dies problematisch? Ich denke nicht, denn über diese Seite werden keine brisanten Informationen ausgetauscht. Aber innerhalb dieser Seite gibt es noch den Zugriff auf ein weiteres System: Politisches Informationssystem Wiesbaden (PIWi). Sie kommen auf diese Seite von der Wiesbaden-Seite aus über:
Und so präsentiert sich diese Seite:
Machen wir doch hier auch einmal die Probe aufs Exempel und prüfen den Status dieser Seite ab:
 |
 |
 |
| Seiteninformation | Seiteninformation Seite 2 |
Seiteninformation Seite 3 |
Scheint alles sicher zu sein. Bitte schauen Sie sich das letzte Bild an. An der markierten Stelle erkennen Sie die verwendete Version: TLS 1.0. Ist das sicher? Bei den übrigen Beispielen stand dort TLS 1.2.
Was ist der Unterschied zwischen der Version 1.0 und 1.2 von TLS? Schauen wir doch einfach in der Wikipedia nach:
Sie erkennen an diesem Bild, daß die Version 1.0 aus dem Jahr 1999 stammt (genauer: in diesem Jahr wurde die Spezifikation beschlossen). Danach folgte im Jahr 2006 die Version 1.1 und im Jahr 2008 die Version 1.2. An einer Version 1.3 wird aktuell gearbeitet.
Sie sehen, die Stadt Wiesbaden verwendet eine ältere Version von TLS. Ist dies problematisch? Lassen wir doch einfach mal die Seite von einem Profi untersuche und uns einen Bericht dazu geben:
Dieser Server erhielt im Test die Note F. Zusätzlich wurde auf die Gefahr durch Attacken mit den Namen FREAK und POODLE hingewiesen.
Note F: die Seite vergibt Noten von A bis F, wobei F die schlechtest Note ist, die überhaupt vergeben wird4). Dies klingt nicht gut.
FREAK ist der Name für einen Angriff auf solche Server, der im Jahre 2015 bekannt wurde. Wikipedia hat eine Erläuterung dazu: FREAK (Sicherheitslücke). Die Lücke ist längst geschlossen; dazu muß man nur die neuere Version der Software auf den Server einspielen.
POODLE: auch dies ist der Name eines Angriffs auf solche Server; und auch hier hat Wikipedia einen Artikel dazu: Poodle. Auch dieser Fehler ist aus der Software längst entfernt worden; auch hier muß man nur die neuere Software auf den Server einspielen. Entsprechende Hinweise dazu gab es schon im Oktober 2014.
Wie sehen die anderen Seiten aus:
| Sicherheits-Niveau einiger Seiten | |||
|---|---|---|---|
 |
 |
 | |
| Sicherheits-Niveau der Seite www.welt.de |
Sicherheits-Niveau der Seite www.heise.de |
Sicherheits-Niveau der Seite www.google.de | |
Diese Seiten werden alle positiv bewertet.
Sicherheit erzwingen
Wie sieht das aus, wenn ich eine sichere Verbindung erzwinge? Das kann man machen, dazu muß ich aber eine Einstellung in meinem Firefox verändern.Warnung: ich werde Ihnen gleich zeigen, welche Einstellung ich wie verändere. Aber bitte nehmen Sie diese Veränderungen auf Ihrem Computer nicht vor, es sei denn Sie fühlen sich sicher bei solchen Anpassungen. Bei einem Auto schrauben Sie ja auch nicht den Motor auseinander. Also: sofern Sie dies nachmachen, dann auf Ihr Risiko.
Im Firefox kann ich einstellen, welche Version von TLS unterstützt wird. Dies sieht dann so aus:
In der blau markierten Zeile sehen Sie eine 1. Mögliche Einträge hier sind eine 3 (=für TLS Version 1.2), eine 2 (für TLS 1.1) oder eine 1 (für TLS 1.0). Schreibe ich dort eine 3 hinein, dann unterstützt mein Browse nur nur die Version 1.2, eine Verbindung mit einer anderen Version wird abgelehnt. Schreibe ich dort eine 2 hinein, dann wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen, aber beim Scheitern wird die Verbindung mit der Version 1.1 versucht. Bei einer 1 in dieser Zeile wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen. Im Falle des Scheiterns danach mit der Version 1.1 und bei erneutem Scheitern des Aufbaus wird es mit der Version 1.0 versucht. Genauso läuft es bei der Piwi-Seite.
Sie erinnern sich doch sicherlich an Fax-Geräte. Diese machten am Anfang der Übertrag so merkwürdige Geräsuche. Mit diesen Geräuschen haben sich die beiden Seiten über mehrere Punkte 'unterhalten', u.a. über die Geschwindigkeit der Übertragung. Und so ist auch auch hier, allerdings nicht sichtbar und nicht hörbar.
Was passiert, wenn ich in meinem Browser eine sichere Verbindung erzwinge? Dazu trage ich in der oben angegebenen Zeile eine 2 ein, akzeptiere also nur noch Verbindungen über TLS 1.2, zur Not auch 1.1, aber nicht mehr über die Version 1.0. So präsentiert mir das nun der Firefox:
Sie sehen, eine Verbindung zur Piwi-Seite kann nicht aufgebaut werden, da mein Browser keine Technik anbieten kann, die der Server, also die Piwi-Seite, versteht.
BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Institution der Bundesregierung und untersteht dem Innenministerium. Zitat: Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.Zu aktuellen Entwicklungen in der IT-Branche gibt es auch für Bürger Hinweise und Erläuterungen vom BSI: BSI für Bürger. Dort finden Sie unter Empfehlungen Hinweise zu vielen Themen rund um Ihren Computer. Schauen Sie einfach mal dort rein.
Zum Thema sichere Kommunikation im Internet hat das BSI für die Server des Bundes folgende Hinweise gegeben:
Diese Aussagen finden Sie in diesem Dokument des BSI: Technische Richtlinie TR-02102-2 auf der Seite 5. Und natürlich verwendet das BSI auf seiner Seite TLS in der Version 1.2.
Fazit
Der Piwi-Server gehört zur Stadt Wiesbaden und die Kommunikation mit diesem Server ist nicht so richtig sicher. Da die eingesetzte Version von TLS veraltet ist, könnte man sogar von einer unsicheren Kommunikation sprechen.Nun könnte man natürlich sagen, daß es einen selbst ja nicht betrifft. Sollte dort mal ein böser Bube (oder Mädel) einbrechen und Daten stehlen, betrifft es höchstens die Politiker im Rathaus. Aber ich denke, daß auch dort ein Gefühl für Sicherheit von Daten vorhanden sein sollte. Und wenn sie ihre eigenen Daten nicht schützen, wie schützen sie dann erst die Daten der Bürger?
Internet Explorer
Meine hier abgebildete Bilder bezogen sich bisher auf den Firefox als Browser, aber es gibt ja noch andere Browser, z.B. den Internet Explorer5). Hier sehen Sie, wie man die entsprechenden Informationen im Internet Explorer erhält (am Beispiel der Welt):| so kommen Sie im Internet Explorer an diese Informationen | ||
|---|---|---|
 |
 |
|
| bitte klicken Sie auf: Datei und danach auf: Eigenschaften |
und Sie sehen die Informationen | |
Andere Browser
Sie benutzen werde n Firefox noch den Internet Explorer? Dann schauen Sie bitte am Ende dieser Seite nach: Ihre Software sicher einrichten: Verschlüsselung/Zertifikate. Dort beschreibt das BSI bei weiteren Browsern, wie Sie an die hier dargestellten Informationen kommen.Auf der angegeben Seite des BSI finden Sie auch ein Video, das Ihnen weitere Informationen zum hier beschriebenen Thema liefert.
Nachtrag
11. Januar 2017: Teil 2 des TextesAnmerkungen:
1) Ich verwende den Firefox in der Version 50.1.0, dies ist die zum Zeitpunkt des Schreibens diese Textes aktuelle Version. Bei älteren Versionen kan der Weg zu den hier dargestellten Informationen ein anderer sein. Dies gilt möglicherweise auch für Versionen des Firefox, die nach Veröffentlichung dieses Textes herauskommen.
2) Klicken Sie bitte auf ein Bild, dann sehen Sie dieses Bild in vergrösserter Form.
3) Sie können diesen Test auch selbst vornehmen: Qualitiy SSL Labs, auf dieser Seite klicken Sie dann bitte auf Test your server.
4) Die Aufstellung zu den Ratings finden Sie hier: SSL Server Rating Guide
5) Für diese Darstellung habe ich den Internet Explorer in der Version 11.0.960.17126 verwendet. Bei anderen Versionen kann der Weg zu den dargestellten Information vom hier beschriebenen Weg abweichen.
