Verified by Visa – Unsicherheit mit System

Früher konnte man mit einer Kreditkarte einfach online zahlen, indem man Kreditkartennummer und Gültigkeitsdatum (und später noch CVV2) eingegeben hat. Das hatte den Nachteil, dass ein Betrüger, der diese Angaben erfahren hat, auch mit der Karte einkaufen konnte. Besonders einfach ist es natürlich, wenn ein Händler selbst der Betrüger ist oder mit Betrügern zusammenarbeitet.

Deswegen haben sich die Kartenherausgeber ein System ausgedacht, was dieses Problem lösen sollte: Der Händler leitet einen auf die Seite der Bank um, dort meldet man sich mit einem Kennwort an, was nur dem Karteninhaber und der Bank bekannt ist, und die Bank bestätigt, dass der Karteninhaber sich angemeldet hat. Visa nennt das „Verified by Visa“, Mastercard nennt es „Mastercard SecureCode“, und allgemein werden diese Verfahren als 3-D-Secure-Verfahren bezeichnet. Da das Passwort im Gegensatz zu den Kreditkartendaten immer nur zwischen Kunde und Bank (verschlüsselt) ausgetauscht wird, ist es für Betrüger deutlich schwerer, an dieses Passwort zu gelangen. Eigentlich genial.

Eigentlich. Wenn der Nutzer auch tatsächlich das Passwort nur auf der Bankseite eingibt. Dafür muss er wissen, wie er die Bankseite erkennt, und auch darauf achten. Idealerweise, indem die Verifikationsseite, auf der der Kunde sein Verified-by-Visa-Passwort eingibt, auf der dem Kunden bekannten Domain seiner Bank betrieben wird. Aus unerklärlichen Gründen passiert genau das leider oft nicht, und ein Kunde kann nicht wissen, ob die Seite wirklich zu seiner Bank gehört oder nicht. Auch dafür gibt es eine Lösung: Mit EV-Zertifikaten wird der Name des Webseitenbetreibers neben der Adresszeile angezeigt (Beispiel). Darauf könnte man die Kunden trainieren, und Kunden mit Ahnung von IT-Sicherheit hätten etwas, worauf sie sich verlassen könnten.

Das setzt aber voraus, dass die Kunden wirklich auf die Bankseite umgeleitet werden, und somit sehen können, auf welcher Seite sie sind. Immer mehr Händler binden die Bankwebsite aber per IFrame in ihre eigene Website ein, statt den Kunden auf die Bankwebsite umzuleiten. Ohne den Quelltext der Seite auseinanderzunehmen, kann der Kunde nicht sehen, ob das Eingabeformular wirklich von seiner Bank stammt, oder einfach das Passwort einem betrügerischen Onlineshop (oder einem Hacker, der einen echten Onlineshop manipuliert hat) ausliefert. Was eigentlich ein untrügliches Zeichen für Phishing ist (Eingabeformular für Bankpasswort auf Nicht-Bank-Website), ist bei Verified-by-Visa/3D-Secure nicht nur völlig normal, sondern sogar die ausdrücklich empfohlene Art, das 3D Secure-Verfahren umzusetzen.

Um dem Kunden die Echtheit der Seite zu bestätigen, gibt es daher eine „persönliche Begrüßung“, die nach der Eingabe der Kreditkartennummer, aber vor der Eingabe des Passworts, angezeigt wird. Dieses auch auf anderen Seiten beliebte Verfahren ist völlig wirkungslose Scheinsicherheit: Eine bösartige Website, die das Passwort abgreifen will, kann per Software die Website der Bank besuchen, die Kreditkartennummer des Kunden dort eingeben, und bekommt daraufhin die persönliche Begrüßung mitgeteilt. Diese kann sie nun dem Kunden anzeigen und sich so als besonders echt ausweisen. Theoretisch könnte das gegen „dumme“ Phishingseiten schützen, die sich diese Mühe nicht machen wollen, praktisch wird dort das Fehlen der Begrüßung aber den meisten Kunden nicht auffallen.

Das Verfahren mit Kreditkartennummer, Gültigkeitsdatum und später CVV2 war auch notorisch unsicher, führte zu Missbrauch, aber es war bequem. Die Kartenherausgeber nahmen das bewusst in Kauf und übernahmen die Schäden, weil die Kreditkarten gerade durch ihre Bequemlichkeit attraktiv waren – den Kunden konnte die Unsicherheit egal sein, da die Kreditkartenherausgeber die Schäden übernahmen. Mit der Einführung von Verified by Visa/3-D Secure könnte sich das ändern. Mit dem Argument, das Verfahren sei sicher und jeder Missbrauch sei auf Fahrlässigkeit des Kunden zurückzuführen, könnten Banken nun versuchen, die Schäden auf Kunden abzuwälzen. Insbesondere das sinnlose Verfahren mit der persönlichen Begrüßung stinkt förmlich danach, dass das System als deutlich sicherer dargestellt werden soll, als es ist.

Deswegen schreibe ich diesen Beitrag: Das Verfahren ist unsicherer Murks, aber der Kunde hat keine andere Wahl, als es zu benutzen, wenn er seine Kreditkarte nutzen will. Solange die Bank dafür haftet, ist das auch völlig OK. Sollte eine Bank aber versuchen, die Folgen ihrer eigenen Fahrlässigkeit auf die Kunden abzuwälzen, ist dies inakzeptabel. Ich hoffe, dieses Posting trägt dazu bei, dass die Unsicherheit von Verified-by-Visa/3-D Secure besser bekannt wird, und es Banken dadurch schwerer wird, die Schäden unrechtmäßig auf ihre Kunden abzuwälzen.

Das Problem ist übrigens nicht neu und es haben schon zig Leute darüber geschrieben – siehe z. B. das Paper von Steven J. Murdoch und Ross Anderson, die regelmäßig vermurkste Bank-Sicherheitssysteme auseinandernehmen. Von Ross Anderson ist auch dieser herrliche offene Brief (Leseempfehlung!) an einen Kartenherausgeber-Verband, der die Publikation unangenehmer Forschungsergebnisse mit rechtlichen Drohungen verhindern wollte. Anderson findet in seinem vor Sarkasmus triefenden Meisterwerk  sehr deutliche Worte für das Abwälzen von Schäden durch unsichere Systeme auf die Kunden, indem behauptet wird, die Systeme seien sicher.

 

Es gibt noch einen weiteren, viel banaleren Grund, warum ich Verified by Visa hasse: Es ist lästig. Da man in Deutschland Kreditkarten online meist ca. einmal im Jahr braucht, kann ich mir das Passwort nie merken (speichern/aufschreiben darf man es natürlich auch nicht, und die sinnlosen Beschränkungen auf 8-10 Zeichen, die die Comdirect einem aufzwingt, tun ihr übriges). So besteht eine Kreditkartenzahlung für mich immer daraus, dass ich mich bei meiner Bank einloggen und dort mittls PIN+iTAN ein neues Kennwort setzen muss. Sehr komfortabel. Insbesondere, wenn die Bank wie gerade eben Wartungsarbeiten hat, und ich meine Kreditkarte deswegen nicht nutzen kann, oder wenn man dringend unterwegs ein Zugticket per Kreditkarte online bezahlen muss, aber die TAN-Liste zu Hause liegt. Die Kreditkarte ist so vom bequemsten Online-Zahlungsverfahren zum Umständlichsten geworden, ohne auch nur ansatzweise vergleichbare Sicherheit zu bieten. Herzlichen Glückwunsch.

Karten, Apps und Löcher – Ein Rückblick zum ePerso

Vor knapp über einem Jahr wurde der neue, elektronische Personalausweis eingeführt. Vor einem Jahr und einem Tag wurde die erste Version der AusweisApp veröffentlicht – und vor genau einem Jahr habe ich die massive Sicherheitslücke in der AusweisApp aufgedeckt. Diesen Tag möchte ich daher für einen Rückblick nutzen, und laientauglich die wichtigsten Dinge zum ePerso erläutern: Was ist der ePerso eigentlich? Wie sicher ist er? Wem soll er nutzen? Wer profitiert wirklich davon? Und was ist daraus eigentlich geworden?

Inhalt

1. Was ist der ePerso?
2. Sicherheit und Gefahren
3. Die AusweisApp und ihre Lücke
4. Der Nutzen des Ausweises
5. Kosten und Wirtschaftsförderung
6. Fazit

Was ist der ePerso?

Zum 1. November 2010 hat der „neue Personalausweis“, kurz nPA, den bisherigen Ausweis ersetzt. Der auffälligste Unterschied zum alten Personalausweis ist das von den meisten Bürgern als praktischer empfundene Kreditkartenformat. Der wichtigere Unterschied jedoch ist im Inneren der Plastikkarte versteckt: In der rechten oberen Ecke ist ein Chip eingebaut, mit dem der Ausweis elektronisch genutzt werden kann. Deswegen hieß er auch „elektronischer Personalausweis“, kurz „ePerso“ oder „ePA“, bevor die Regierung merkte, dass dieser Name durch die Kritik am Projekt zu unbeliebt geworden war.

Der Personalausweis ist eine sogenannte kontaktlose Chipkarte. Das bedeutet, dass er per Funk mit dem Lesegerät Kontakt aufnimmt (und von ihm drahtlos mit Strom versorgt wird). Die drahtlose Technik (RFID/NFC) wurde gewählt, weil sich dabei keine Kontakte abnutzen und die Karten und Lesegeräte somit haltbarer sein sollen. (Vielleicht spielte die Idee, einen neuen Standard zu schaffen und die Wirtschaft durch die Einführung von viel neuer Technik zu fördern, auch eine gewisse Rolle.)

Der Chip im Personalausweis ist ein kleiner Computer – mit einem Prozessor, etwas Speicher und der Fähigkeit, Berechnungen durchzuführen. Das soll eine ganze Reihe neuer Möglichkeiten öffnen, denn der Chip unterstützt gleich mehrere Funktionen: Mit der hoheitlichen Ausweisfunktion können Behörden über den Chip die Echtheit des Ausweises prüfen. Mit der eID-Funktion soll der Nutzer mit dem Ausweis online seine Identität beweisen können. Und zu guter Letzt soll es mit dem Ausweis auch möglich sein Dokumente (wie z. B. Verträge) digital zu unterschreiben. Letzteres ist allerdings schon seit Jahren mit gewöhnlichen und bewährten Signaturkarten möglich.

Hoheitliche Ausweisfunktion

Die auf dem Ausweis aufgedruckten Daten, das Passfoto sowie (falls abgegeben) der Fingerabdruck sind auf dem Chip noch einmal elektronisch gespeichert und können von befugten Behörden gelesen werden. Das soll die Fälschungssicherheit erhöhen, da die Daten auf dem Chip gegen unbefugte Veränderung sehr gut gesichert sind. Die hoheitliche Ausweisfunktion ist immer aktiv und kann nicht ausgeschaltet werden.

eID-Funktion

Mit der eID-Funktion soll es möglich sein, mit dem Ausweis gegenüber einer Website die Identität (oder auch nur das Alter) zu belegen oder sich einzuloggen. Dazu benötigt man ein Lesegerät sowie eine Software, die „AusweisApp“. Über die AusweisApp kommuniziert die Website mit dem Ausweis, und in der App wird auch angezeigt, welche Daten an welchen Empfänger übertragen werden sollen. Damit ein verlorener Ausweis nicht missbraucht werden kann, muss man jedes Mal eine sechsstellige PIN eingeben. Die eID-Funktion kann auf Wunsch ein- und ausgeschaltet werden.

Elektronische Signaturfunktion

Mit einem Lesegerät der höchsten Sicherheitsstufe soll es möglich sein, den Personalausweis für die sogenannte „qualifizierte elektronische Signatur“ zu benutzen. Damit kann man Dokumente mit einer rechtlich verbindlichen digitalen Unterschrift versehen. Da dies mit gewöhnlichen Signaturkarten schon lange möglich ist, spart man lediglich eine Karte ein, wenn die Funktion vom Ausweis mit unterstützt wird.

Derzeit ist die elektronische Signatur mit dem Personalausweis noch nicht möglich.

Sicherheit und Gefahren

Wie sieht es um die Sicherheit des neuen elektronischen Personalausweises aus? Dazu muss man zunächst überlegen, wo überall Probleme lauern könnten: Einerseits ist da natürlich der Ausweis selbst bzw. der Chip darin sowie die Funkverbindung, über die mit dem Ausweis kommuniziert wird. Hier sind starke Sicherheitsmaßnahmen eingebaut. Andererseits spielen aber gerade bei der eID-Funktion auch das Lesegerät, die AusweisApp, der Rechner, auf dem diese läuft, und schließlich der Nutzer selbst eine große Rolle – und hier gibt es zahlreiche Probleme.

Sicherheit der Funkverbindung

Bei einem Ausweis, mit dem berührungslos per Funk kommuniziert werden kann, auch während er in der Geldbörse versteckt ist, stellt sich natürlich als erstes die Frage: Kann der Ausweis unbefugt benutzt oder ausgelesen werden? Kann man mich mit dem Ausweis verfolgen?

Zunächst einmal zur Beruhigung: Die Funkverbindung ist natürlich verschlüsselt. Normale Lesegeräte können mit dem Ausweis nur auf höchstens 10 Zentimeter Entfernung kommunizieren. Speziell gebaute Geräte werden diese Reichweite vermutlich etwas erhöhen können, ein Auslesen aus mehreren Metern ist jedoch rein physikalisch kaum möglich. Der Ausweis ist passiv, das heißt, ohne ein Lesegerät in unmittelbarer Nähe hat er gar keine Stromversorgung. Sorgen, der Ausweis könnte als GPS-Peilsender jederzeit seine Position an irgendwelche Behörden senden, sind also unbegründet.

Selbst wenn ein Lesegerät mit dem Ausweis kommuniziert, soll dieser aber nichts verraten, was den Eigentümer identifizieren könnte – nicht einmal eine Seriennummer, über die man den Ausweis wiedererkennen könnte. Um Daten auszulesen, muss eine der drei Funktionen genutzt werden, auf die im Folgenden genauer eingegangen wird. Es ist aber nicht auszuschließen, dass früher oder später ein Verfahren entdeckt wird, mit dem die Ausweise doch unterschieden und so wiedererkannt werden können.

Sicherheit der hoheitlichen Ausweisfunktion

Das Auslesen der Daten über die hoheitliche Ausweisfunktion soll nur mit einem dazu berechtigten Gerät möglich sein, und auch dann nur, wenn die auf dem Ausweis angegebene sechsstellige Nummer eingegeben wird. So soll sichergestellt sein, dass der Ausweis nie unbemerkt ausgelesen werden kann. Ob ein Zugriff auf den Ausweis tatsächlich nur mit diesen Sicherheitsmaßnahmen möglich ist, kann man jedoch nicht nachprüfen – man muss sich auf die Angaben der Regierung verlassen. Hintertüren, die das unbemerkte Auslesen erlauben, wären problemlos möglich und kaum zu entdecken. Die Reichweite wäre hierbei allerdings immer noch wie oben beschrieben stark beschränkt.

Sicherheit der eID-Funktion

Die Sicherheit der eID-Funktion hängt von zahlreichen Komponenten ab. Neben dem Lesegerät benötigt der Nutzer eine spezielle Software, die AusweisApp, um diese Funktion nutzen zu können. Die erste Version der AusweisApp war aufgrund einer direkt nach der Veröffentlichung entdeckten Sicherheitslücke ein offenes Einfallstor für Computerviren.

Es gibt drei Arten von Lesegeräten: Die „Basisleser“, die steuerfinanziert in großer Zahl verteilt wurden, die „Standardleser“ und die „Komfortleser“. Die Komfortleser bieten hierbei die größte Sicherheit, müssen aber vom Nutzer selbst gekauft werden (und waren zum Start des Ausweises noch nicht verfügbar). Die billigen Basisleser hingegen haben keine eigenen Sicherheitsfunktionen. Insbesondere muss die PIN des Ausweises auf dem Computer eingegeben werden – wo sie z. B. von Viren abgefangen werden kann.

Da die AusweisApp normalerweise von einer Website gestartet wird, ist es für den Nutzer schwierig, ein gefälschtes AusweisApp-Fenster zu erkennen – wenn er dort seine PIN eingibt, wird sie dem Angreifer, z. B. Kriminellen, bekannt. Der Angreifer benötigt jedoch noch Zugriff auf das Lesegerät, um den Ausweis mit der PIN missbrauchen zu können. Eine Zusatzsoftware, die zu einem der „Starter-Kits“ mit Basisleser gehört, ermöglicht diesen Zugang – und somit den Ausweismissbrauch.

Bei den Komfortlesern wird die PIN am Lesegerät eingegeben, wo sie von Viren nicht mehr abgefangen werden kann. Erst mit einem solchen Gerät wäre eine halbwegs sichere Nutzung des Personalausweises wirklich möglich. Leider wurden gerade die unsicheren Basisleser in großer Zahl verteilt – die Sicherheit wurde in den Hintergrund gerückt, um möglichst viele Geräte verteilen zu können.

Für die eID-Funktion gilt ein niedrigeres Sicherheitsniveau als für die Signaturfunktion. Deswegen kann darüber zwar z. B. bei einer Onlinebestellung die Identität des Käufers geprüft werden, aber eigentlich dient die Prüfung nicht dazu, eine Transaktion wie z. B. den Kauf zu bestätigen – offiziell zumindest nicht. Wenn aber der Händler zeigen kann, dass sich der Käufer mit dem eID-Verfahren  ausgewiesen hat, wird der Ausweisinhaber kaum in der Lage sein, den Kauf zu bestreiten – auch im Fall eines Missbrauchs der eID-Funktion. Dieser Anscheinsbeweis über die Ausweisfunktion wird in der Praxis so zur Signatur – obwohl die Funktion dafür nie gedacht war und das Sicherheitsniveau daher auch nicht ausreichend hoch ist.

Dem Ausweisnutzer bietet der Ausweis in dieser Hinsicht also nicht mehr, sondern weniger Sicherheit: Bisher lag die Beweislast beim Händler, bei einer missbräuchlichen Bestellung unter falschem Namen blieb er auf dem Schaden sitzen. Mit dem ePerso wird ein Missbrauch zwar schwieriger, das Risiko wird aber auf den Ausweisinhaber abgewälzt.

Innenministerium und BSI werden nicht müde, nach jedem Angriff auf die eID-Funktion zu betonen, dass der Ausweis selbst sicher sei. Das ist jedoch ungefähr so sinnvoll, wie die Sicherheit einer Panzertür zu betonen, neben der ein offener Dienstboteneingang steht, der in den gleichen Raum führt.

Sicherheit der Signaturfunktion

Die Signaturfunktion kann man aktuell wohl als die sicherste Funktion des Ausweises bezeichnen – sie existiert schlichtweg noch nicht. Geht man davon aus, dass die Kommunikationsprotokolle ordnungsgemäß funktionieren, dürfte die Sicherheit mit gewöhnlichen Signaturkarten vergleichbar sein. Für die Nutzung der Signaturfunktion wird zwingend ein „Komfortleser“, also ein Lesegerät der höchsten Sicherheitsstufe benötigt, wodurch ein recht hohes Sicherheitsniveau erreicht wird.

Derzeit gibt es widersprüchliche Angaben, ob das sogenannte Signaturzertifikat über die eID-Funktion beantragt werden kann. Wäre dies möglich, würde die hohe Sicherheit der qualifizierten elektronischen Signatur untergraben: Wer die schwächer geschützte eID-Funktion knackt, könnte sich auf den Namen des Opfers ein Signaturzertifikat ausstellen lassen und damit dann falsche Signaturen erzeugen.

Politische Missbrauchsgefahr

Nicht zu unterschätzen ist beim ePerso auch die Missbrauchsgefahr auf politischer Ebene. Der CDU-Bundestagsabgeordnete Axel E. Fischer, der auch Vorsitzender der Enquete-Kommission „Internet und digitale Gesellschaft“ ist, hat beispielsweise gefordert, anonyme Diskussionen im Internet zu verbieten – und den Personalausweis zur Durchsetzung der Klarnamenspflicht zu verwenden. Das ist leider keine verirrte Einzelmeinung: In einem öffentlich gewordenen internen Positionspapier der Unionsfraktion findet sich die Aussage: „Eine anonyme Teilhabe am politischen Meinungs- und Willensbildungsprozess ist abzulehnen.“

In vielen Fällen ist die Möglichkeit, sich anonym zu äußern, aber Voraussetzung dafür, dass man sich überhaupt frei und unbeschwert äußern kann. Sei es, weil man in einem erzkonservativen bayrischen Dorf lebt und die katholische Kirche kritisieren will, oder weil man (ob begründet oder unbegründet spielt keine Rolle!) Angst hat, wegen seiner Meinung zukünftig staatlichen Repressalien ausgesetzt zu werden. Eine solche Forderung untergräbt daher massiv die Meinungsfreiheit. Der ePerso schafft die Voraussetzung dafür, eine solche Regelung umzusetzen.

Solange solche Forderungen regelmäßig aufkommen, muss man überlegen, ob die Möglichkeiten, die der ePerso bietet, nicht zu gefährlich sind.

Die AusweisApp und ihre Lücke

Anfangs noch „Bürgerclient“ genannt, bekam das Programm, welches den elektronischen Personalausweis mit dem Internet verbinden soll, bald wie auch der ePerso selbst einen „moderneren“ Namen: „AusweisApp“. Das soll die Akzeptanz erhöhen. Aber was ist diese AusweisApp eigentlich?

Der ePerso soll auch im Internet einsetzbar sein – man soll sich damit auch gegenüber Webseiten ausweisen können. Dazu muss der Ausweis irgendwie mit der Website Kontakt aufnehmen können. Die AusweisApp vermittelt zwischen Website und Lesegerät und erlaubt es dem Nutzer auch, beispielsweise seine PIN zu ändern oder die Identität einer Website anzuzeigen, die Ausweisdaten anfordert.

Auch wenn viele denken, die AusweisApp sei vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt worden, wurde die Software von der Firma OpenLimit  programmiert. Unter anderem um Vorwürfe zu entkräften, die AusweisApp würde den „Bundestrojaner“ beinhalten, also eine Spionagesoftware für die Durchführung von Onlinedurchsuchungen, wurde zunächst zugesichert, den Quellcode des Programms offenzulegen. Dadurch könnten zumindest IT-Fachleute sich die inneren Funktionsweisen der Software anschauen. Gleichzeitig trägt eine solche Vorgehensweise auch dazu bei, dass Fehler schneller entdeckt werden, weil die Software von mehr Menschen unter die Lupe genommen wird. Das wurde beim Erscheinen der AusweisApp allerdings auf „später“ verschoben.  In einer Antwort auf eine Bürgeranfrage gab das BSI inzwischen zu, den Quellcode nicht einmal selbst geprüft zu haben – dies sei auch „nicht Bestandteil der Zertifizierung“.

Nachdem man das rund 50 MB große Paket heruntergeladen und installiert hat, verbraucht das Programm im Leerlauf üppige 130 MB Arbeitsspeicher, sobald es gestartet wurde (was auch eine ganze Weile dauert).

Der „AusweisApp-Hack“

Wie genau funktioniert aber der Angriff auf die AusweisApp, der einen Tag nach dem Erscheinen bekannt wurde?

Weil Software sich schnell weiterentwickelt und oft Fehler nachträglich korrigiert werden müssen, hat die AusweisApp eine eingebaute Updatefunktion. Bei jedem Start fragt die Anwendung bei einem Server nach, ob neue Updates zur Verfügung stehen. Wenn ja, werden diese heruntergeladen und zur Installation angeboten. Damit auf diesem Wege nur echte Updates und nicht z. B. Viren auf den Rechner des Nutzers gelangen, wird für die Update-Prüfung eine gesicherte Verbindung verwendet – die gleiche Technik, die auch beim Onlinebanking genutzt wird und eigentlich sicher ist.

Beim Aufbau einer solchen Verbindung muss der Server ein Zertifikat vorlegen. Die AusweisApp prüft nun, ob das Zertifikat gültig ist, von einer vertrauenswürdigen Stelle ausgestellt wurde und ob es tatsächlich dem Server gehört, mit dem die AusweisApp spricht – aber in der ersten Version prüfte sie nicht den Servernamen, der darin steht. Das kann man sich etwa so vorstellen, dass ein Pförtner den Auftrag hat, nur eine bestimmte Person ins Gebäude zu lassen. Kommt nun jemand an, prüft der Pförtner zwar, ob sein Ausweis echt und noch gültig ist und ob das Foto zur Person vor ihm passt – aber nicht, ob der Name im Ausweis mit dem Namen der Person übereinstimmt, die herein darf. (Der Vergleich mit dem Ausweis ist bildlich gemeint – das Zertifikat hat nichts mit der Ausweisfunktion des ePerso zu tun!)

Ein Angreifer, dem es gelingt, die Verbindung auf seinen eigenen Server umzulenken, kann sich somit gegenüber der AusweisApp in der ersten Version mit seinem eigenen Zertifikat „vorstellen“, und die AusweisApp akzeptiert dies anstandslos. So eine Umleitung ist auf viele Arten möglich, und sobald die Verbindung steht, kann ein Angreifer ein gefälschtes Update übertragen.

Das ist ein Programmierfehler, der zwar vergleichsweise leicht passiert, bei einem solchen Programm aber eigentlich nicht passieren bzw. es zumindest nicht in die fertige Version schaffen sollte. Überraschenderweise hatten die Entwickler jedoch noch eine zweite Sicherheitsebene eingebaut. Die Updates werden in Form einer ZIP-Datei heruntergeladen. Diese wird zunächst entpackt, und im Anschluss wird geprüft, ob das darin enthaltene Installationsprogramm ein gültiges „digitales Siegel“ (eine sogenannte Signatur) trägt. Ist dies nicht der Fall, wird das Paket sofort wieder gelöscht.

Hier schlägt aber ein zweiter Fehler zu: Wer schon einmal mit ZIP-Dateien gearbeitet hat, weiß, dass diese Ordner enthalten können. Der Ordnername „..“ hat im Computer eine besondere Bedeutung – er steht für „eine Ebene höher“. Beim Auspacken der ZIP-Datei bemerkt die AusweisApp nicht, wenn ein Ordner mit einem solchen Namen enthalten ist, und packt den Inhalt entsprechend an einen Ort aus, wo der Angreifer ihn haben will, er aber nicht hingehört. Gelöscht wird auch nur der Inhalt des Verzeichnisses, in welches die Dateien eigentlich entpackt werden sollen. Wenn der Angreifer also eine passende ZIP-Datei liefert, landet  seine Datei, z. B. ein Virus, auf Wunsch im Autostartordner des Computers – und wird, wie der Name schon sagt, beim nächsten Start des Computers automatisch gestartet.

Hat ein Angreifer erst einmal einen Virus auf dem Rechner installiert, befindet sich das System unter vollständiger Kontrolle des Angreifers. Er kann sämtliche Daten kopieren, verändern oder löschen, Onlinebanking-Verbindungen angreifen, Tastatureingaben und Passwörter stehlen und schließlich auch die PIN des Ausweises erfassen, falls der Nutzer diese am Computer eingibt. Die Bildschirmtastatur der AusweisApp vermittelt hier ein trügerisches Gefühl der Sicherheit – genauso wie ein Virus Tastatureingaben protokollieren kann, kann er auch Mausklicks und Bildschirminhalte erfassen.

Auch wenn das BSI behauptet, dass durch diesen Angriff die AusweisApp selbst und die persönlichen Daten auf dem Ausweis nicht gefährdet seien – mit der gestohlenen PIN kann der Angreifer dann selbstverständlich auch den Ausweis nutzen, wenn dieser auf dem Lesegerät liegt, und selbstverständlich kann ein Virus beliebige Software auf dem infizierten Rechner verändern – auch die AusweisApp. Diese Möglichkeiten sind bekannt, seit der CCC im September 2010 einen entsprechenden Angriff vorgestellt hatte. Die Voraussetzung für die sichere Nutzung des Personalausweises ist ein sicherer Rechner – und genau diese Sicherheit hat die erste Version der AusweisApp untergraben.

Der Hinweis, den Ausweis nur aufzulegen, wenn man ihn benutzen möchte, ist ebenfalls Augenwischerei: Für eine missbräuchliche Transaktion braucht ein Virus nur Sekunden.

In der aktualisierten Version der AusweisApp wurde übrigens nicht nur die Lücke geschlossen: Gleichzeitig wurde – im direkten Widerspruch zu den Open-Source-Versprechungen – die Analyse erschwert, indem Teile des Programmcodes verschleiert und unzugänglich gemacht wurden.  Aus welchem Grund das geschah, ist unklar – vielleicht, weil noch andere peinliche Lücken behoben wurden und einen Vergleich der alten und neuen Version verhindern werden soll, vielleicht, um die Aufdeckung weiterer Lücken zu erschweren, oder vielleicht aus ganz anderen Gründen. Die Befürchtung, die AusweisApp könnte einen Bundestrojaner beinhalten, wird diese Maßnahme sicherlich weiter schüren. Wer kein Windows hat, musste sich sowieso noch gedulden: Die aktualisierte Version der AusweisApp für Linux erschien erst über ein halbes Jahr später. Eine Version für MacOS ist für Ende 2011 angekündigt.

Der Nutzen des Ausweises

Was der Ausweis bringen soll, ist bekannt – doch was bringt er tatsächlich?

Der Hauptvorteil für die meisten Bürger dürfte das handlichere Format sein. Das wäre allerdings auch ohne Funkchip, biometrisches Passfoto und (derzeit noch freiwillige) Erfassung der Fingerabdrücke möglich. Für den ePerso ist es also kein Argument.

Die hoheitliche Ausweisfunktion soll die Fälschungssicherheit erhöhen. Allerdings sind Fälschungen deutscher Ausweisdokumente aufgrund der ganz normalen Sicherheitsmerkmale wie Wasserzeichen, Hologramme und Spezialfarben bereits jetzt extrem selten: In der Zeit von Januar 2001 bis September 2007 – also in über fünf Jahren – weist die Polizeistatistik gerade mal 216 Fälle von Fälschungen oder Verfälschungen von Personalausweisen auf, wie die Regierung in einer Antwort auf eine Kleine Anfrage der Linkspartei zugeben musste.

Der zusätzliche Schutz kann außerdem nur dann wirken, wenn der Ausweis zusätzlich zur Sichtkontrolle auch elektronisch geprüft wird. Auch die Fälschungssicherheit ist also kein wirkliches Argument für den ePerso.

Als Hauptvorteil wird meist die Internet-Ausweisfunktion genannt. Damit ein Seitenbetreiber diese nutzen kann, muss er jährlich rund 6000-8000 Euro für die nötigen Systeme zahlen. Je nach dem, was benötigt wird, kann er nun die Identität oder das Alter der Besucher prüfen oder den Besuchern erlauben, sich über den ePerso einzuloggen. Zumindest bei den Nutzern, die einen neuen Ausweis haben, ihre PIN kennen, ein Lesegerät besitzen, eine funktionierende AusweisApp installiert haben und bereit sind, dieses Verfahren auch tatsächlich zu nutzen – andere werden abgeschreckt oder abgewiesen.

Auch wenn eine Identitätsprüfung für den Anbieter natürlich wünschenswert ist, überwiegen doch die Nachteile. Der Kunde hat aus der Nutzung der für ihn umständlichen Identitätsprüfung über den Ausweis gar keinen Vorteil. Im Gegenteil: Im Falle eines Missbrauchs muss er für den Schaden haften.

In einem Bereich macht die eID-Funktion hingegen Sinn: Bei einigen Behörden lassen sich Informationen nun online einholen und Anträge online abgeben, für die man sonst die Behörde besuchen müsste. (Böse Zungen würden sagen, dass der Ausweis nur dort eingesetzt werden kann, wo der „Kunde“ keine Wahl hat.)

Ein Login über den ePerso hätte für den Nutzer den Vorteil, dass er sich keine Passwörter merken muss und gegenüber einem einfachen Login mit Passwort die Sicherheit tatsächlich leicht erhöht wird. Wenn der Ausweis kaputt geht, verloren wird, die AusweisApp nicht richtig funktioniert oder ähnliches, wird aber der Nutzer ausgesperrt – und der Anbieter verliert möglicherweise einen Kunden.

Daher ist auch diese Anwendungsmöglichkeit weit weniger attraktiv, als sie klingt. Außerdem wäre sie – ohne die mit einer staatlichen Lösung verbundene Bürokratie – mit existierenden und bewährten Systemen zu einem Bruchteil des Preises umsetzbar gewesen. Banken haben mit dem ChipTAN-Verfahren sowieso längst ein Verfahren entwickelt, was günstiger, einfacher und sicherer ist.

Eine weitere Anwendung des ePerso ist noch erwähnenswert: Die Altersverifikation. Wie bereits erwähnt kann man über die eID-Funktion nicht nur die Identität, sondern auch nur das Alter belegen – und zwar anonym. Das ist deswegen interessant, weil das deutsche Jugendschutzrecht für nicht jugendfreie Inhalte eine Altersverifikation zwingend vorschreibt. Deutschen (Erotik-)Anbietern ist es so bisher nur schwer möglich, solche Inhalte bereitzustellen. Das soll sich mit dem Ausweis ändern. Angesichts der bereits erwähnten Kosten für den Anbieter ist jedoch fraglich, ob die Situation dadurch wirklich verbessert wird. Statt mit dem ePerso ließe sich das Problem schließlich auch lösen, indem die Jugendschutzregelungen auf ein vernünftiges Niveau zurückgefahren werden. Dem Jugendschutz im Netz würde das nicht schaden – ausländische Anbieter bieten nicht jugendfreie Inhalte schon immer ohne besondere Altersüberprüfung an.

Die Anzahl der Anbieter, die eID nutzen, ist dementsprechend gering: Derzeit sind es laut offizieller Website gerade einmal 30 Stück. Damit ist der Ausweis auch für die Bürger relativ nutzlos, da man ihn nur an wenigen Stellen einsetzen kann. Auch wo der ePerso genutzt werden kann, nimmt kaum jemand die Möglichkeit wahr: Im ersten Jahr nach der Einführung der neuen Ausweise haben bei der deutschen Rentenversicherung gerade einmal 300 Nutzer die eID-Funktion genutzt. Nur ein Drittel der Ausweise ist überhaupt für diese Funktion freigeschaltet.

Die Signaturfunktion wäre zwar nützlich, ist aber einerseits noch nicht nutzbar und kann andererseits auch genauso gut oder besser mit regulären Signaturkarten realisiert werden. Das ELENA-Verfahren, bei welchem zahlreiche Daten über die Tätigkeit von Angestellten zentral erfasst werden, sollte ursprünglich die digitale Signatur zur Abfrage der Daten nutzen. Inzwischen hat die Regierung jedoch eingesehen, dass das Projekt mehr schadet als nutzt und beschlossen, es demnächst einzustellen. Damit haben die meisten Bürger keinen Grund, die elektronische Signatur zu nutzen.

Ohne die anonyme/pseudonyme Altersverifikations- und Loginfunktion hätte man die Ausweisfunktion übrigens auch mit bestehender, günstiger und bewährter Technik (Zertifikatskarten) umsetzen können. Für den wichtigsten Zweck (Identitätsbestätigung, insbesondere gegenüber Behörden) wäre dies völlig ausreichend, das System wäre weltweit kompatibel und es wären kaum Neuentwicklungen nötig. Aber vielleicht ist letzteres ja gerade der Grund, warum dieser Weg nicht gewählt wurde:

Den größten Nutzen vom neuen Personalausweis haben nämlich immer noch die Firmen, die an der Herstellung der Ausweise und der dafür nötigen Geräte beteiligt sind.

Kosten und Wirtschaftsförderung

Vollmundig hat die Regierung angekündigt, dass der neue elektronische Personalausweis den Bürgern endlich Sicherheit im Netz bringen würde. Wenn man sich allerdings im Bekanntenkreis umhört, interessieren sich die Menschen mehr für das handliche Kreditkartenformat.

Der entscheidende „Vorteil“ des Chip-Perso ist jedoch ein anderer: Die Einführung der neuen Technik kommt der Wirtschaft zugute. Die Bundesdruckerei, eine privatisierte GmbH die erst seit 2009 wieder in Staatsbesitz ist, stellt zwar die Ausweise her, die Chips werden aber von der niederländischen Firma NXP sowie dem deutschen Chiphersteller Infineon geliefert. Billig sind solche Chips natürlich nicht, und der Bürger darf zahlen: Statt wie bisher 8 Euro kostet ein Personalausweis nun 28,80 Euro – was bei 6,5 Millionen neuen Ausweisen pro Jahr insgesamt rund 187 Millionen jährlich sind – und somit pro Jahr rund 135 Millionen mehr als bisher.

Die Lesegeräte werden hauptsächlich von den zwei deutschen Unternehmen REINER SCT und SCM Microsystems hergestellt. Um den Einsatz des ePerso zu fördern, hat die Regierung Steuergelder in Höhe von 24 Millionen dafür ausgegeben, rund 1,5 Millionen „Sicherheitskits“ an Unternehmen wie Versicherungen und Zeitschriftenverlage zu verschenken oder verbilligt abzugeben. Diese können die „Sicherheitskits“ dann mit ihren Produkten bündeln und so – mit  Steuergeldern – Werbung für sich machen. Dazu kommen nochmal rund 16 Millionen Einführungskosten, zusammen also 40 Millionen Euro.

Bei den so geförderten Geräten handelt es sich allerdings um die „Basisleser“, welche so unsicher sind, dass Experten von der Nutzung abraten. Diese Geräte in dieser Stückzahl unters Volk zu bringen war also nicht nur eine gigantische Geldverschwendung, sondern auch noch höchst gefährlich. Die Signaturfunktion („qualifizierte elektronische Signatur“) kann auch erst mit den Lesegeräten der höheren Sicherheitsstufe genutzt werden. Diese sogenannten „Komfortlesegeräte“, mit denen der Ausweis erst vollständig genutzt werden kann, haben eine unverbindliche Preisempfehlung von schlappen 159 EUR pro Stück. (Zum Vergleich: Lesegeräte der entsprechenden Sicherheitsklasse für klassische Kontakt-Chipkarten, die nicht per Funk arbeiten, gibt es schon für knapp 40 Euro.)

Apropos Signaturfunktion: Für diese benötigt man ein Signaturzertifikat, welches von einer vertrauenswürdigen Stelle ausgestellt werden muss. Technisch ist das ein relativ anspruchsloser Vorgang – man benötigt lediglich eine sichere Umgebung, in der die verwendeten digitalen Schlüssel nicht gestohlen werden können, und die Identität des Inhabers muss geprüft werden. Das könnte also alles mit minimalem Zusatzaufwand bei der Bundesdruckerei (Erstellung in sicherer Umgebung) und den Bürgerämtern (Identitätsprüfung und Aushändigung) gemacht werden. Könnte – die Ausweise werden ohne Signaturzertifikat ausgeliefert. Dieses kann sich der Bürger dann – für rund 20 Euro pro Jahr – bei einer privaten Zertifizierungsstelle ausstellen lassen. Wahlweise auch auf einer normalen Kontakt-Chipkarte, ein ePerso ist dafür nämlich eigentlich gar nicht nötig.

Eine der größten Hoffnungen im Bezug auf den ePerso ist es jedoch, einen neuen Standard international zu etablieren – in der Hoffnung, dass deutsche Unternehmen dann die entsprechenden Produkte im Ausland anbieten können. Es ist zu befürchten, dass einige Entscheidungen auch mit Blick auf diese Möglichkeit getroffen wurden – auf Kosten der Sicherheit und statt auf existierende und bewährte Lösungen zu setzen. Kontaktlose Chipkarten bieten zwar auch einige Vorteile, bringen dafür aber einiges an Risiken und Komplexität mit sich – und damit natürlich auch Forschung und wirtschaftliches Potential.

Fazit

Wie viele staatliche IT-Großprojekte ist auch der elektronische Personalausweis gescheitert. Die Sicherheit entspricht nicht den Anforderungen, die ein solches Projekt erfüllen müsste – was man auch an der erheblichen Sicherheitslücke in der AusweisApp sieht, die direkt nach der Veröffentlichung aufgedeckt wurde.

Der elektronische Ausweis bietet Lösungen, wo es keine Probleme gibt: Er soll die Fälschungssicherheit eines Dokuments erhöhen, was als eines der fälschungssichersten weltweit gilt. Er soll die elektronische Signatur ermöglichen, die längst möglich ist. Lediglich die Ausweisfunktion ist neu – und die Teile davon, die wirklich nötig wären, hätte man auch mit bestehender Technik einfacher haben können.

Der Nutzen für die Bürger hält sich in Grenzen: Behördengänge sind bei einigen wenigen Behörden online möglich, ansonsten kann der Ausweis kaum irgendwo genutzt werden. Die Akzeptanz ist gering, selbst wo der Ausweis genutzt werden kann, tun das nur sehr wenige Nutzer. Neben den bekannt gewordenen Sicherheitslücken verursacht der Ausweis neue Gefahren. Bei Onlineeinkäufen könnte er das Risiko vom Händler auf die Kunden verlagern, und er bietet gegenwärtigen und zukünftigen Regierungen ein mächtiges Instrument, um anonyme Meinungsäußerung im Internet zu unterdrücken – entsprechende Wünsche werden vor allem aus Reihen der Union auch regelmäßig geäußert.

Die Einführung des neuen elektronischen Personalausweises hat viel Geld gekostet. Angesichts der offensichtlichen Wünsche, ein exportierbares Produkt zu entwickeln, wird deutlich, dass Wirtschaftsförderung zumindest ein Grund für die Einführung war – wenn nicht sogar der Hauptgrund, hinter dem andere Aspekte zurücktreten mussten. Der Großteil der Kosten aber fällt ständig mit der Ausstellung neuer Ausweise an – und muss über die Ausstellungsgebühren direkt von den Bürgern getragen werden. Da die jährlichen Kosten die Einführungskosten massiv übersteigen, ist es nie zu spät, das Projekt einzustampfen, und wieder chipfreie Ausweise auszugeben. Den für die Bürger größten Vorteil des neuen Personalausweises kann man dabei sogar beibehalten: Das handliche Kreditkartenformat.

Für die Wirtschaft bleibt ja noch der ePass, die elektronische Gesundheitskarte, DE-Mail, ggf. eine Neuauflage von ELENA, und sicher noch andere „sinnvolle“ Projekte…

Wie Sofortüberweisung.de funktioniert

Scheinbar wissen viele nicht, wie der Dienst „Sofortüberweisung.de“ funktioniert – denn ich glaube kaum, dass so viele ihn sonst nutzen würden. Der Dienst verspricht, wie der Name schon sagt, sofortige Überweisungen, was beim Online-Shopping dem Händler die (vermeintliche – siehe unten) Garantie gibt, dass die Ware direkt bezahlt ist, und dem Kunden so unter Umständen zu einer kürzeren Lieferzeit verhilft. Im Gegensatz zum Lastschriftverfahren ist eine Überweisung auch nicht (zumindest nicht so leicht und nur innerhalb kurzer Zeit) zurückrufbar.

Wie aber schafft es der Dienst, Überweisungen durchzuführen? Ganz einfach – man gibt ihm seine Onlinebanking-Zugangsdaten. Nein, man loggt sich nicht bei seiner eigenen Bank ein und überweist, man gibt diesem Dienst seine Zugangsdaten für den Onlinebankingzugang. Damit loggt er sich dann bei der Bank ein und führt die Transaktionen durch. Mit Benutzername/Kontonummer und PIN hat der Dienst schonmal weitreichenden Lesezugriff aufs Konto – und wurde vor kurzem dabei erwischt, wie er diesen missbraucht, um die Umsätze der letzten 30 Tage, den Dispokredit, Vorhandensein und Kontostände anderer Konten bei der gleichen Bank und/oder vorgemerkte und ausgeführte Auslandsüberweisungen abzufragen. Das soll nur der Absicherung der Überweisung dienen, was aber nichts daran ändert, dass Sofortüberweisung.de die entsprechenden Informationen abfragt. Mit der eingegebenen TAN wird dann die Überweisung durchgeführt. Technisch läuft die Kommunikation mit der Bank über das HBCI-Protokoll, worüber auch Onlinebanking-Software wie Hibiscus, WISO etc. mit der Bank kommuniziert.

Rein technisch gesehen ist das ganze Verfahren exakt das gleiche, was die ganzen Phishingseiten machen – es werden Zugangsdaten des Nutzers abgefragt und dann verwendet, um eine Transaktion durchzuführen. Bei iTAN wird die Transaktion eben der Bank gegenüber eingeleitet, die Bank sagt, welche iTAN sie möchte, und dann wird diese iTAN abgefragt. Der Nutzer muss darauf vertrauen, dass Sofortüberweisung.de mit der TAN keinen Missbrauch anstellt. Das soll durch ein TÜV-Zertifikat bestätigt werden – es gab allerdings schon zahlreiche Fälle (hier ein anderer TÜV-Verein), wo TÜV-geprüfte Webseiten völliger Murks waren. Diese Zertifikate sind also meiner Meinung nach nicht die Bytes wert, die die PDF-Dateien belegen.

Wenn ein Händler also nur eine Zahlung über Sofortüberweisung anbietet, oder bei anderen Zahlungsmethoden miese Konditionen bietet, kaufe ich eben woanders. Sofortüberweisung ist genauso (un)sicher wie Vorkasse per Überweisung, bietet aus Kundensicht in dem Punkt also keinen Vorteil. Wenn ein Händler Lastschrift anbietet, bevorzuge ich das – kaum Arbeit, sollte es große Probleme mit dem Händler geben (was mir bisher nie passiert ist) kann die Lastschrift zurückgebucht werden und die Missbrauchsgefahr ist nahe Null. Klar kann unberechtigt abgebucht werden, dann wird es eben zurückgebucht – dazu ist die eigene Bank grundsätzlich verpflichtet, egal ob sie sich das Geld vom Händler zurückholen kann oder nicht!

Bei mTAN und chipTAN dürfte das Verfahren ähnlich laufen – die Überweisung wird eingeleitet, bei der chipTAN leitet Sofortüberweisung.de die Challenge weiter, der Nutzer gibt die TAN vom Handy/Generator an Sofortüberweisung. Hier ist wenigstens sichergestellt, dass keine falsche Überweisung aufgegeben werden kann – die PIN kann allerdings immer noch benutzt werden, um – wie im oben genannten Fall geschehen – das Konto auszuspähen!

Diese Funktionsweise hängt Sofortüberweisung natürlich nicht an die große Glocke (natürlich steht das alles irgendwo – aber irgendwo wo es keiner liest), und setzt darauf, dass Nutzer sich schon nicht so recht informieren oder es ihnen egal ist. Die Weitergabe von Logindaten an fremde Webseiten verstößt in der Regel gegen Banken-AGB. Diesen Punkt hat das Kartellamt übrigens in einer grandiosen Fehlentscheidung bemängelt, denn viele Banken bieten einen ähnlichen Dienst selbst unter dem Namen GiroPay an. Dieser hat höhere Transaktionsgebühren, wird jedoch von den Banken selbst betrieben und unterscheidet sich in einem „klitzekleinen“ Detail: Der Kunde loggt sich bei seiner eigenen Bank in sein Onlinebanking ein, und die Bank bestätigt dann die Überweisung. Die Logindaten gehen also nicht an eine dritte Partei, in deren Hände sie nicht gehören.

Die Banken hätten also einerseits ein wirtschaftliches Interesse, Sofortüberweisung zu behindern, riskieren dabei allerdings juristische Probleme – weswegen z. B. die Postbank den Laden auch nicht technisch aussperrt. Wäre ich zuständiger für die Online-Sicherheit einer Bank und hätte das unabhängig von den wirtschaftlichen/rechtlichen Sachen zu entscheiden, würde ich die IPs von Sofortüberweisung regelmäßig in die Firewalls stopfen, und die bis zur Erkennung als IP von Sofortüberweisung eingereichten, aber noch nicht durchgeführten Überweisungsaufträge stornieren (mit Benachrichtigung des Kunden, aber ohne Benachrichtigung von Sofortüberweisung) – der Laden müsste dann zusehen, wie er sein Geld vom Kunden bekommt, vor allem, nachdem dieser einen bösen Brief von seiner Bank erhalten hat. Es wäre natürlich auch denkbar, dem Kunden einfach den Onlinezugang wegen Missbrauch zu sperren. Ehrlich gesagt überrascht es mich massiv, dass das nicht durch irgendwelche automatischen Systeme, denen das hohe Transaktionsvolumen auffällt, geschehen ist. Die vereinzelten Posts in Foren, wo behauptet wird, dass Leuten wegen der Nutzung von Sofortüberweisung.de (d.h. unberechtigter Weitergabe von Zugangsdaten) die Onlinebankingzugänge oder gar Konten gekündigt werden, sind bisher (leider, muss man sagen) vermutlich eher Falschmeldungen, das kann sich aber natürlich noch ändern. In Foren als Möglichkeit erwähnt und durchaus denkbar ist es, dass die Banken protokollieren, wer derart gegen AGB verstößt, und im Falle eines Schadens (z. B. durch Phishing) das Verhalten des Kunden als Argument benutzen, um den Schaden nicht auszugleichen. Sofortüberweisung.de „empfiehlt“ den Shopbetreibern, um Abmahnungen durch Verbraucherzentralen zu vermeiden, zu Erklärungen von Sofortüberweisung einen Text hinzuzufügen, in dem zwischen viel wiederholendem Geschwurbel steht:

Vorsorglich weisen wir dennoch darauf hin, dass es in Deutschland Banken und Sparkassen gibt, die davon ausgehen, dass die Nutzung von sofortüberweisung.de wegen der Verwendung von PIN und TAN außerhalb der eigenen Online-Banking-Systeme bei etwaigen Missbrauchsfällen zu einer Haftungsverlagerung führen kann. Dies kann bedeuten, dass im Missbrauchsfall die Bank sich weigert, den Schaden für den Endkunden zu übernehmen und der Endverbraucher den Schaden zu tragen hat.

Für Händler hat das Verfahren neben der Abmahngefahr außerdem noch das Problem, dass die Überweisung keineswegs so garantiert ist wie angedeutet wird – Sofortüberweisung bestätigt nur, dass die Überweisung abgeschickt wurde. Wenn der Kunde die Überweisung direkt danach bei der Bank widerruft, oder die Bank sich einfach entscheidet, die Überweisungen zu stornieren, dürfte der Händler seinem Geld wohl hinterherlaufen.

Giropay hat übrigens auch ein Problem, ist nämlich bei unvorsichtigen Nutzern besonders anfällig gegen Phishing. Der Nutzer wird von einer Drittwebsite (Onlineshop) auf sein Onlinebanking umgeleitet und soll sich dort einloggen. Der Onlineshop könnte den Nutzer nun auf eine Phishingseite umleiten. Wenn der Nutzer weiß, wie Giropay zu funktionieren hat (d.h. Login erfolgt auf der eigenen Bankwebsite) und er (z. B. über das SSL-Zertifikat) prüft, dass er sich auf der richtigen Website befindet, würde er so etwas natürlich erkennen. Ich weiß das, weiß wie ich das prüfen kann, und tue es auch konsequent – ich bezweifle jedoch, dass das auf Otto Normalnutzer auch zutrifft. Das ließe sich mit ein wenig Aufklärung aber wahrscheinlich korrigieren, denn die Nutzer sind inzwischen für Sicherheitsthemen gerade beim Onlinebanking sensibilisiert. Das gleiche Problem (mit der gleichen Lösung) gibt es übrigens auch beim Verified-by-Visa-Programm für Kreditkarten (bei Online-Kreditkartenzahlungen muss man sich bei Visa einloggen, somit sind Zahlungen nur mit den Infos die der Händler klauen kann nicht mehr mögich) sowie beim Authentifizierungsverfahren OpenID – und natürlich bei Sofortüberweisung, wo ein „Phishing-Angriff“ sogar mehr oder weniger Teil des Verfahrens ist.

Und nein, ich bekomme für diesen Artikel weder Geld noch habe ich irgendwas mit Giropay oder sonstigen Online-Zahlungssystemen zu tun. Es regt mich „nur“ tierisch auf, wenn das Verletzen grundlegener Sicherheitskonzepte zum Geschäftsmodell gemacht wird. Wenn man sich die Kommentare im Heiseforum zur Entscheidung des Kartellamts anschaut, bin ich offensichtlich nicht der einzige.

Zusammenfassung:

Probleme für Kunden

• Kontoumsätze wurden und werden abgefragt
• Missbrauch möglich
• Keine Rückbuchung bei Problemen mit Händler (wie bei normaler Vorkasse auch)
• AGB-Verstoß gegen Bank-AGB
  • Bank könnte Haftung bei Missbrauch (auch in unabhängigen Fällen!) verweigern
  • Onlinebanking-Sperrung denkbar

Probleme für Händler

• Verlust von Kunden die wissen wie das Verfahren funktioniert und es daher nicht nutzen wollen oder es gar als unseriös ansehen
• Abmahngefahr durch Verbraucherzentralen
• Zahlungen sind keineswegs garantiert!

Sicheres Onlinebanking? Kostet extra!

Die Postbank schaltet das iTAN-Verfahren zugunsten „sichererer“ Verfahren ab. Das iTAN-Verfahren, also die Eingabe eines Einwegkennworts von einer gedruckten Liste, ist bei einem verseuchten Computer über einen Trojaner angreifbar, der die Überweisungsdaten verändert. Der Schritt ist also erstmal logisch, nachvollziehbar und scheint sinnvoll zu sein.

Als Ersatz werden zwei alternative Verfahren angeboten: Die mTAN, bei der eine TAN auf das Handy geschickt wird, und die chipTAN (auch smartTAN genannt), bei der die TAN von einem speziellen Gerät in Verbindung mit der Bankkarte erzeugt wird. Bei beiden Verfahren werden die Trasaktionsdetails (Betrag, Empfängerkonto, …) auf einem separaten Gerät (Handy bzw. TAN-Generator) angezeigt. Dadurch kann ein Trojaner nicht mehr die Überweisung unbemerkt ändern. Vor diesem Problem schützen beide neuen Verfahren. Alle drei Verfahren, also iTAN, mTAN und chipTAN, stellen zusammen mit der PIN des Nutzers eine Zwei-Faktor-Authentifizierung dar: der Nutzer muss geheimes Wissen (die PIN) beweisen, und den Besitz eines physikalischen Gegenstands (TAN-Liste, Handy, TAN-Generator+Karte).

Im Folgenden wird davon ausgegangen, dass es einem Angreifer irgendwie gelungen ist, an die PIN zu kommen – was ohne einen Trojaner auf dem Rechner schwierig ist und in dem Fall die Gefahr relativiert, mit einem Trojaner jedoch trivial ist. Aufgrund der Zwei-Faktor-Authentifizierung sollte der Angreifer alleine mit der PIN (ohne den Besitz des entsprechenden Gegenstandes) nichts anfangen könnten.

Solange kein Trojaner auf dem Rechner ist und die TAN-Liste geheim bleibt, ist das iTAN-Verfahren sicher. Beim mTAN-Verfahren hingegen sieht es bereits anders aus: Hier muss nicht der PC, sondern das Handy sicher sein. Mit steigender Verbreitung von Smartphones und eher mangelhafter Sicherheit derselbigen wird das immer schwieriger. Während es für gewöhnliche Nutzer schwieriger ist, den Computer statt das Handy sauberzuhalten, kann das bei „Powerusern“ genau umgekehrt aussehen. Gelangt ein Angreifer in den Besitz der PIN und kann gleichzeitig das Handy mit Malware verseuchen, kann er das Konto plündern. (Update: Kunden einer spanische Bank sollen auf diese Weise angegriffen worden sein, das ist also keineswegs graue Theorie. Danke an wopot für den Hinweis! Update 2: Jetzt warnt auch das BSI vor dieser Art von Angriff. Update 3: Und jetzt gibts schon gezielte Angriffe auf deutsche User, ausgehend von einem verseuchten Rechner. QED.)

Eine weitere Gefahr bei der mTAN entsteht durch das Mobilfunknetz: Die mTANs werden per SMS verschickt. Diese sind bei der Übertragung nur sehr schlecht geschützt, und es existieren Angriffe, die SMS-Nachrichten an eine bestimmte Nummer bereits im Handynetz umleiten können. Beispiele für Angriffsmöglichkeiten wären: Die Nummer des Opfers portieren lassen, Klonen der SIM-Karte/des Handies, Abhören der SMS-Übertragung irgendwo zwischen Bank und Handy, das Bestellen einer neuen SIM-Karte, und und und. Darüber hinaus ist das meist immer mitgenommene Handy einer höheren Diebstahlsgefahr ausgesetzt als die TAN-Liste, die sicher zu Hause verwahrt wird.

Die mTAN ist im Szenario „PIN dem Angreifer bekannt, Rechner sauber“ somit weniger sicher als die iTAN.

Auch im Szenario „Computer verseucht“ beitet die mTAN keinen vollständigen Schutz: Heutige Smartphones werden oft mit dem Rechner verbunden, und ein Virus, der vom Computer auf das Smartphone überspringt um die mTANs zu stehlen ist technisch möglich und höchstwahrscheinlich nur eine Frage der Zeit. (In diesem Fall versagt jedoch das bisherige iTAN-Verfahren ebenfalls.)

Das andere Verfahren, die chipTAN, ist nahezu ideal: Ein separates Gerät, welches ausschließlich für die TAN-Erzeugung genutzt wird, zeigt die Überweisungsdaten an und generiert anhand der Bankkarte eine nur für diese Überweisung gültige TAN. Auch hier gibt es zwar Angriffe, diese nutzen jedoch ähnlich wie mein letzter ePerso-Angriff Fehler des Nutzers aus. Mit einer eindeutigen Bedienungsanleitung können diese weitgehend vermieden werden. Dieses Verfahren ist selbst dann sicher, wenn alles außer dem chipTAN-Generator virenverseucht ist, da die Prüfung der Überweisungsdaten auf dem Display des Generators stattfindet. Da dieses Gerät eine abgeschlossene Einheit mit minimalem Funktionsumfang (und somit kaum Angriffsfläche) darstellt, dürfte es vor Viren sicher sein.

Das Problem: Die iTAN wird bei der Postbank abgeschafft, Kunden haben also nur noch die Wahl zwischen mTAN und chipTAN. Nur die mTAN kann allerdings ohne weitere Kosten für den Nutzer genutzt werden. Das weitaus bessere chipTAN-Verfahren erfordert, dass der Nutzer 12-15 Euro für ein passendes Lesegerät ausgibt. Das wird die Akzeptanz dieses Verfahrens nicht gerade fördern. Das mTAN-Verfahren ist aber in bestimmten Fällen weniger sicher als die bisherigen iTANs. Durch das von den Banken behauptete hohe Sicherheitsniveau könnte das im Missbrauchsfall für den Kunden ein ziemliches Problem vor Gericht werden.

Gleichzeitig machen die Preise für die TAN-Generatoren übrigens deutlich, was für eine Gelddruckmaschine die ePerso-Kartenleser mit Verkaufspreisen im dreistelligen Bereich sind bzw. welche Preisklasse die ordentlichen Lesegeräte haben dürften, wenn man sie statt der unsicheren Basisleser in großen Mengen herstellen lässt.

Zusammenfassung:
– Die iTAN ist gegen verseuchte Computer anfällig. Dies ist derzeit das größte Problem beim Onlinebanking.
– Die Abschaffung der iTAN wird insgesamt betrachtet die Sicherheit erhöhen
– Die mTAN kann das Problem lindern, aber nicht lösen.
– Die mTAN bietet in bestimmten Szenarien einen geringeren Schutz als die iTAN
– Die chipTAN hat ein sehr hohes Sicherheitsniveau, kostet aber den Nutzer Geld
– Einige Nutzer werden durch diese Änderung ein niedrigeres Sicherheitsniveau als bisher haben. Sicheres Onlinebanking kostet extra.
– Die Nutzung des chipTAN-Verfahrens kann ich nur empfehlen.

Meiner Meinung nach sollten die Banken die chipTAN als Standardverfahren verwenden und genauso wie sie den Kunden ec-Karten zur Verfügung stellen, kostenlose TAN-Generatoren anbieten.

Durch die Nutzung eines separaten Geräts für die Erzeugung der TANs dürfte das chipTAN-Verfahren übrigens deutlich sicherer sein als die eID-Anwendung des ePersos – obwohl die Hardware einen Bruchteil kostet. Mit einem ähnlichen Ansatz (sichere Eingabegeräte mit Display und Tastatur im Besitz des Nutzers) ließen sich auch EC-Kartenzahlungen deutlich sicherer gestalten – da gibt es nämlich auch schon Sicherheitslücken.

Auch bei digitalen Signaturen sollte ein sicheres Signiergerät den zu signierenden Inhalt in einem simplen Fomat (z. B. Plaintext oder Bitmap) nochmal auf einem eigenen Display anzeigen und nur genau das signieren, was angezeigt wurde. Aber bis sich so etwas etabliert, dürften Jahrzehnte vergehen.

Sicherheitslücke bei PayPal eine Woche lang offen

Anfang Dezember, am 9.12., habe ich morgens gegen 10 eine Sicherheitslücke bei Paypal entdeckt. Obwohl der Laden es eigentlich nicht verdient hat (nicht nur weil sie Wikileaks das Konto gesperrt haben, sondern z. B. deswegen weil sie gerne mal ohne wirklichen Grund Konten willkürlich einzufrieren und sich dann zu weigern, vor Ablauf von 6 Monaten das Geld freizugeben).

Das Problem war, dass man innerhalb der (HTTPS-geschützten) Paypal-Seite über ungeschützte Seiten weitergeleitet wurde – was ein Angreifer prompt hätte ausnutzen können, um ein Opfer auf eine Phisingseite umzuleiten, nachdem es die gesicherte Paypal-Seite erreicht hat.

Obwohl Paypal mir noch am 9. gegen 18 Uhr bestätigte, meine Mail bekommen zu haben und sich um das Problem zu kümmern, wurde die gefährliche Umleitung erst am 16.12., also eine Woche später, in den frühen Morgenstunden behoben. (Ein paar Tage zuvor wurde schon die Umleitung von Paypal.com auf paypal-deutschland.de aufgehoben, wenn ich es richtig in Erinnerung habe.) Wie lange die Lücke vor meiner Entdeckung offen war weiß ich natürlich nicht, aber das können nochmal Wochen oder Monate gewesen sein.

Besonders peinlich daran war, dass die Umleitung über irgendeinen Werbeserver eines Drittanbieters erfolgte, vermutlich also nur gemacht wurde, um Statistiken zu sammeln beziehungsweise das Nutzerverhalten zu verfolgen. Die Lücke hätte eigentlich innerhalb von weniger als einer Stunde behoben sein müssen. Angesichts der Größe von Paypal und der Tatsache dass es sich um einen Zahlungsdienstleister handelt, hätte ich ehrlich gesagt erwartet, dass die Lücke innerhalb einer Stunde nach meiner Mail weg ist – und nicht, dass allein die Eingangsbestätigung rund 8 Stunden dauert. (Gemeldet hatte ich das an eine spezielle Adresse zum Melden von Sicherheitslücken).

Es wird aber noch besser: Dass es gefährlich ist, Teile von kritischen Websites ohne SSL laufen zu lassen, ist hinreichend bekannt, und wurde z. B. von Moxie Marlinspike vor Jahren demonstriert. Die Reaktion von PayPal auf seine Entdeckung: Sie haben sein PayPal-Konto gesperrt und sein Geld darauf eingefroren (lies: erstmal behalten).

 

Technische Details der Lücke

Für Interessierte hier nocheinmal die ganzen schmutzigen technischen Details:

Wenn man mit einem auf deutsch eingestellten Browser auf http://www.paypal.com ging (und die Seite gerade nicht erfolgreich von 4chan geddost wurde), wurde man auf https://www.paypal-deutschland.de/ umgeleitet. Wie es sich für einen Zahlungsdienstleister gehört wurde dabei SSL eingesetzt, wenn auch das Zertifikat dem PayPal-Ableger in Singapur gehört, obwohl die Seite laut Impressum von PayPal Europe (Luxemburg) betrieben wird.

Der Login-Knopf (Ergänzung: der Knopf der einen zum Login-Formular bringt, also kein Knopf zum Absenden der Logindaten) zeigte auf

https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11

Wenn man diese URL nun aufgerufen hat, sah das so aus (Hervorhebung von mir. Die SSL-Warnung liegt nur daran dass mein wget nicht richtig konfiguriert ist):

--04:07:37--  https://www.paypal-deutschland.de/mediaPlexLink.html?url=https%3A%2F%2Fwww.paypal.com%2Fde%2Fcgi-bin%2Fwebscr%3Fcmd%3D_login-run&id=3484-46780-8030-58%3FID%3D11
           => `nul'
Resolving www.paypal-deutschland.de... 62.168.214.18
Connecting to www.paypal-deutschland.de|62.168.214.18|:443... connected.
WARNING: Certificate verification error for www.paypal-deutschland.de: unable to get local issuer certificate
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11 [following]
--04:07:37--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11
           => `nul'
Resolving altfarm.mediaplex.com... 89.207.18.81
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com [following]
--04:07:37--  http://mp.apmebf.com/ad/ck/3484-46780-8030-58?ID=11&host=altfarm.mediaplex.com
           => `nul'
Resolving mp.apmebf.com... 89.207.18.80
Connecting to mp.apmebf.com|89.207.18.80|:80... connected.
HTTP request sent, awaiting response... 302 Found
Location: http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557 [following]
--04:07:38--  http://altfarm.mediaplex.com/ad/ck/3484-46780-8030-58?ID=11&no_cj_c=1&upsid=868592930557
           => `nul'
Connecting to altfarm.mediaplex.com|89.207.18.81|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 424 [text/html]

    0K                                                       100%   15.56 MB/s

04:07:38 (15.56 MB/s) - `nul' saved [424/424]

Man wird also über mehrere unverschlüsselte Webseiten weitergeleitet. Die letzte liefert dann eine HTML-Seite aus, die einen wieder zurück zu einer HTTPS-gesicherten Paypal-Seite bringt.

Ein Angreifer mit gewisser Kontrolle über die Internetverbindung konnte also die Auslieferung der ungesicherten Seiten manipulieren und so das Opfer auf eine Phishingseite umlenken. Wenn ein Opfer vor dem Anklicken des Login-Links das Zertifikat (und dann nicht mehr) geprüft hat, wähnte es sich in Sicherheit (denn von einer sicheren Seite sollte man nicht unsicher umgeleitet werden), obwohl aufgrund dieses Fehlers Gefahr bestand.

Bundestag kann SSL abhören

Der Bundestag kann SSL-gesicherte Verbindungen abhören. SSL ist vielen vielleicht nur als „https“ bekannt und sichert neben Onlinebanking auch z. B. Verbindungen zu E-Mail-Servern und ziemlich viele andere Sachen. (Kurzzusammenfassung für Leute die sich mit SSL auskennen: Der Bundestag hat ne CA. Der Artikel erklärt halbwegs laienfreundlich genau das, die Grundidee hinter SSL und warum SSL kaputt ist.)

SSL funktioniert so: Eine vertrauenswürdige Stelle stellt dem Server einen Ausweis aus, den er vorzeigt, und darüber wird die Verbindung verschlüsselt. Das nennt sich Zertifikat und die technischen Details habe ich schonmal erklärt, hier will ich es einfach halten. Ein Angreifer kann sich in die Verbindung nicht einklinken, weil er keinen passendes Zertifikat hat (nur der Besitzer oder jemand der das Original kopiert hat kann ein Zertifikat zeigen, weil beim Zeigen ein Teil geheim bleibt. Klingt komisch, ist aber Mathematik.)

In jedem Browser ist eine Liste der aus Sicht des Browsers vertrauenswürdigen Stellen enthalten. Das sind ungefähr 50 Stück und zwar auch solche, die man vielleicht nicht ganz so vertrauenswürdig findet, wie z. B. die chinesische Internetbehörde.

Die Sicherheit von SSL beruht darauf, dass ein Angreifer kein Zertifikat bekommt für die Seite, deren Datenverkehr er abhören will. Wenn jemand den Datenverkehr zur Postbank abhören will, muss er also jemanden finden, der ihm ein Zertifikat ausstellt, was bestätigt dass ihm Postbank.de gehört. Das kann aber jede der vertrauenswürdigen Zertifizierungsstellen.

Es wird noch „besser“: Die Zertifizierungsstellen können jedermann zu einer Zertifizierungsstelle machen. Derjenige hat dann die gleichen Möglichkeiten wie die im Browser eingetragenen Zertifizierunsstellen. Neben den 50 Stellen können also noch viele viele weitere ein falsches Zertifikat ausstellen – und mit einem solchen kann man eine eigentlich gesicherte Verbindung abhören. (Das funktioniert so, dass der Angreifer die Verbindung über sich umleitet und behauptet, er sei die Postbank – über das Zertifikat prüft der Browser ob das stimmt.)

Zertifizierungsstellen kürzt man übrigens mit CA ab.

SSL ist also unsicher, wenn

• Eine einzige dieser CAs einen Fehler macht und ein Zertifikat ausstellt ohne zu merken, dass der Angreifer nicht die Postbank ist
• Eine CA dem Angreifer bewusst oder z. B. über einen erpressten Mitarbeiter ein falsches Zertifikat ausstellt (man denke an Geheimdienste oder Industriespionage, viele CAs werden von Regierungen/regierungsnahen Organisationen und noch mehr von Firmen die eigentlich was ganz anderes machen betrieben)
• Der Angreifer eine eigene CA hat/ist/kauft
• eine Sicherheitslücke im Protokoll oder im benutzten Browser/Server auftaucht
• oder irgendwas was ich vergessen hab passiert

Fehler sind schon oft passiert. Ein paar Forscher haben mal das Internet nach SSL-Zertifikaten abgegrast und das zusammen mit ein paar anderen Sicherheitsproblemen auf der DefCon präsentiert. Sie sind auf über 500 Organisationen gekommen die direkt oder indirekt eine CA haben.

Weiterhin haben sie gemerkt, dass CAs ca. 500 noch gültige Zertifikate, die praktisch „geknackt“ sind (durch eine Sicherheitslücke bei Debian) nicht für ungültig erklärt haben, und gültige Zertifikate für private IPs. Das ist in etwa so wie ein Ausweis der bestätigt dass Büro Nummer 37 einer bestimmten Person gehört – ohne zu sagen, von welchem Haus in welcher Stadt man redet. Das scheint übrigens dann das Ausnutzen eine anderen Sicherheitslücke zu erlauben (vereinfacht: man sagt dem Nutzer, dass er die Postbank im gleichen Flur in Büro 37 suchen soll, geht in dieses fremde Büro und zeigt dann wenn der Nutzer kommt den Ausweis vor. Deswegen darf es so einen Ausweis eigentlich nicht geben).

Ach ja, und um zu prüfen, ob jemandem eine Domain gehört, wird eine Mail verschickt. Über oft unverschlüsseltes SMTP. Nachdem über bisher ungesichertes DNS nachgeschaut wurde, wohin die Mail gehen soll. Wenn also jemand es schafft, eine dieser Verbindungen zu manipulieren, bekommt er falsche Zertifikate.

Trotzdem sollte man SSL benutzen. Ohne SSL kann ein Angreifer einfach so mithören, was passiert. Mit SSL muss er selbst bei groben Sicherheitsproblemen (z. B. Zertifikate gar nicht prüfen) auch Kommunikation manipulieren statt einfach nur mitzuhören (geht recht leicht, ist aber eine Hürde). Selbst wenn eine CA falsche Zertifikate ausstellt, muss der Angreifer diese finden und sie muss auch ihm so ein Zertifikat geben. Wenn z. B. die Telekom dem BND ein Zertifikat geben würde (was ich jetzt nicht unterstellen möchte), würde sie es immer noch nicht mit einem gewöhnlichen Kriminellen tun. Auch hier wird also eine Hürde geschaffen.

Schützen kann man sich nur bedingt. Die Firefox-Extension CertPatrol zeigt an, wenn sich ein Zertifikat ändert, und auf Wunsch auch bei neuen Zertifikaten, wer es ausgestellt hat. Dabei machen sowohl die Extension als auch Firefox (beim Klick auf das blaue „gesicherte Verbindung“-Feld in der Adressleiste) einen groben Fehler, den ich hier allerdings noch nicht erklären werde. Erinnert mich in nem Monat dran wenn ich nicht dran denke. (Update: In CertPatrol inzwischen behoben – es wird/wurde nur die CA angezeigt, die das Zertifikat ausgestellt hat. Ein Angreifer, der eine falsche CA hat, kann aber erst eine andere falsche CA mit beliebigem Namen erstellen, und damit dann das Cert ausstellen.) Mit dieser Extension habe ich auch gemerkt, dass der E-Petitionsserver des Bundestags plötzlich ein von der mir bis dahin unbekannten Bundestags-CA ausgestelltes Zertifikat hat. Damit könnte der Bundestag theoretisch falsche Zertifikate ausstellen und so SSL-Verbindungen abhören.

Beim Ausstellen falscher Zertifikate geht die CA aber ein gewisses Risiko ein – normale Nutzer merken das nicht, aber wenn es mal einer mit z. B. CertPatrol merkt und das Zertifikat abspeichert, kann die CA sich nicht völlig herausreden, das Zertifikat verrät unabstreitbar wer es ausgestellt hat. Sie muss es auf einen Fehler schieben und hoffen dass nichts passiert. Wenn sich solche Fehler häufen, düfte die CA aus den Vertrauenslisten in den Browsern rausfliegen und andere CAs dürften sich hüten, diese Organisation wieder in den CA-Status zu heben. Um Zertifikate direkt abspeichern zu können, wenn sie auftauchen (und so das Risiko zu vermeiden, dass beim Abruf mit einem anderen Tool wieder das „saubere“ Zertifikat drin ist), kann man die Extension Cert Viewer Plus nutzen.

Die Bundestags-CA wurde vom DFN (Deutsches Forschungsnetz) bestätigt, welches wiederum seine CA von der Telekom bestätigt bekommen hat. Hier die Zertifikate:

Certification path for "epetitionen.bundestag.de"
Inhaber: C=DE,ST=Berlin,L=Berlin,O=Deutscher Bundestag,OU=PetA,CN=epetitionen.bundestag.de
Aussteller: C=DE,O=Deutscher Bundestag,OU=Deutscher Bundestag,CN=Deutscher Bundestag CA - G01,E=pki-ca@bundestag.de
Validität: from 2010-09-27 13:09:06 UTC to 2015-09-26 13:09:06 UTC
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Inhaber: C=DE,O=Deutscher Bundestag,OU=Deutscher Bundestag,CN=Deutscher Bundestag CA - G01,E=pki-ca@bundestag.de
Aussteller: C=DE,O=DFN-Verein,OU=DFN-PKI,CN=DFN-Verein PCA Global - G01
Validität: from 2008-12-17 14:39:27 UTC to 2019-06-30 00:00:00 UTC
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Inhaber: C=DE,O=DFN-Verein,OU=DFN-PKI,CN=DFN-Verein PCA Global - G01
Aussteller: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2
Validität: from 2006-12-19 10:29:00 UTC to 2019-06-30 23:59:00 UTC
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Inhaber: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2
Aussteller: C=DE,O=Deutsche Telekom AG,OU=T-TeleSec Trust Center,CN=Deutsche Telekom Root CA 2
Validität: from 1999-07-09 12:11:00 UTC to 2019-07-09 23:59:00 UTC
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Einzelne CAs im Browser rauswerfen bringt wenig, weil gerade die kleinen/neuen CAs oft (nicht öffentlich sichtbare!) Bestätigungen von anderen CAs haben. Wenn man eine CA rauswirft, die viele Zertifikate ausstellt, kann man deren Zertifikate nicht mehr von gefälschten unterscheiden. Da man nicht jedes Zertifikat manuell prüfen kann – ganz schlecht. Am Sinnvollsten dürfte CertPatrol sein und für kritische Sachen eben auf die Warnungen achten und beim ersten Mal das Zertifikat genau prüfen. Interessanterweise hat Microsoft dieses Problem scheinbar erkannt – bei WLAN-Verbindungen wo die Anmeldung über Zertifikate gesichert wird muss man ausdrücklich auswählen, welchen CAs man für diesen Zweck traut, und nur die werden akzeptiert. So kann eine Firma sicherstellen, dass ihre Rechner für die Anmeldung in ihrem WLAN nur ihrer eigenen CA und nicht der des Konkurrenten trauen. Und in der Fehlermeldung wird unterschieden zwischen „Zertifikat einer unbekannten CA“ und „Zertifikat einer bekannten aber nicht angekreuzten CA“ sodass man sich zumindest halbwegs sicher verbinden kann, wenn man die richtige CA nicht weiß.

Für Serverbetreiber gilt: Es spielt keine Rolle, wie sicher die CA ist, die man wählt – wichtig ist nur, welche CA in den Browsern akzeptiert wird. Selbst erstellte (nicht von einer CA bestätigte) Zertifikate sind eine relativ schlechte Lösung – eine CA bietet zusätzlich die Möglichkeit, halbwegs sicher zu sein, selbst wenn man das Zertifikat nicht selbst prüfen konnte. Kostenlose Zertifikate für Webserver gibts bei StartSSL, was bis auf Opera von allen Browsern akzeptiert wird. Das oft vorgeschlagene CAcert ist in den meisten Browsern standardmäßig nicht enthalten und daher IMHO nur zweite Wahl – bietet dafür aber auch andere Zertifikatstypen an.

Fefe hat das Thema auch schon kommentiert und ein weiteres Horrorgeschichtenkabinett findet sich in den „A mighty fortress is our PKI“-Mails von Peter Gutmann: Teil 1, Teil 2, Teil 3

Sicherheitslücke für alle

In bzip2 gibt es eine Sicherheitslücke. Das ist deswegen so schlimm, weil das ein wichtiges Kompressionsverfahren ist und somit von sehr vielen Formaten und Programmen genutzt wird. Ich schätze daher, dass so gut wie jeder Computernutzer mindestens ein Programm nutzt, was von dieser Lücke betroffen ist.

Unter Linux ist das keine große Sache – jede Library (also Sammlung von Programmfunktionen, die von anderen Programmen benötigen werden, z. B. auch die betroffene bz2-Library) wird einmal zentral installiert und alle Programme greifen dann darauf zu. Somit kann man die kaputte Version an einer Stelle austauschen und hat das Problem gelöst. Unter Windows bringt fast jedes Programm seine eigenen Kopien der benötigten Libraries mit, man darf also jedes betroffene Programm einzeln aktualisieren – sobald der Hersteller ne aktuelle Version bereitgestellt hat. Und es werden viele Programme betroffen sein.

Um sich ein Bild zu verschaffen, habe mittels apt-rdepends -r auf einem Linuxrechner geschaut, was für Programme direkt oder indirekt von bzip2 abhängen, es also irgendwie nutzen. In einigen Fällen wird bz2 vielleicht nur für einen Installer o.ä. verwendet, sodass eine Windowsversion des Programms nicht betroffen ist, oder die Windowsfassung kann bzip2 nicht, oder bzip2 wird sonstwie so eingesetzt, dass die Sicherheitslücke irrelevant ist. Bei den genannten Programmen ist aber das Risiko, dass sie betroffen sind, recht hoch. Zum Gruseln hier ein paar Auszüge aus der Liste mit für Windowsuser relevanten etwas bekannteren Programmen (nochmal: ein Eintrag hier bedeutet, dass das Programm eine gute Chance hat, betroffen zu sein, nicht, dass es das tatsächlich ist!):

• Apache (Webserver)
• AssaultCube (Egoshooter)
• Audacity (Audio-Editor)
• Avidemux (Videoschnitt)
• Azureus (BitTorrent-Client, vermutlich eher nicht betroffen)
• BallView (Molekülvisualisierungssoftware)
• Blender (3D-Editor)
• BOINC (Seti-at-home-Client)
• Chromium (Browser, Chrome-Klon)
• ClamAV (Antivirus)
• Codeblocks (Entwicklungsumgebung)

(… – ab hier bin ich die Liste nicht systematisch durchgegangen, sondern hab gesucht)

• Firefox
• Inkscape (Vektorgrafik)
• Diverse PDF-Reader?

Wie man sieht, ist die Liste lang, und ich werde nicht das ganze Alphabet durchgehen. Grundsätzlich hat man gute Chancen, bzip2 in folgenden Sachen 1. zu finden 2. an einer Stelle zu finden, wo es regelmäßig nicht vertrauenswürdige Daten abbekommt:

• Browser
• P2P-Programme
• Alles was mit Bildern zu tun hat
• Antivirensoftware
• Entpacker (d’oh)

Auch die Liste könnte natürlich fortgesetzt werden. Ich freu mich schon auf die Updaterei.

Eine Suche nach bzip2.dll liefert auch eine schöne Liste…

• MikTex (LaTeX-Umgebung)
• Inkscape (Vektorgrafik, siehe oben)
• Gimp (Bildbearbeitung)
• Mumble (Sprachkommunikation, freie Alternative zu TeamSpeak)
• …

Es wird sicherlich viele Programme geben, bei denen die Datei anders heißt oder die fehlerbehafteten Funktionen statisch gelinkt (=direkt in die EXE eingebaut) oder in einer anderen DLL enthalten sind.

Serie Virenschutz: Firewalls

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich im letzten Artikel Antivirenprogramme gründlich auseinandergenommen habe, erwartet die „Personal Firewalls“ hier ein ähnliches Schicksal. Der Artikel bezieht sich auf typische Heimcomputer und Firewall-Software. In Firmennetzen machen (separate, richtige) Firewalls durchaus Sinn.

Firewalls dienen dazu, Netzwerkverbindungen zu verhindern und so verwundbare Dienste vor Angriffen zu schützen oder unerlaubte Datenübertragung durch Programme zu blockieren. Dabei gibt es – vereinfacht gesagt – zwei Arten von Verbindungen: Eingehende und Ausgehende. Das kann man sich wie beim Telefon vorstellen – der Computer kann jemanden anrufen oder angerufen werden, in jedem Fall kann man nach einem Verbindungsaufbau in beide Richtungen sprechen.

Computerprogramme nehmen oft Verbindungen entgegen, z. B. um darüber Dateien anzubieten. Wenn diese Programme nun Sicherheitslücken aufweisen, können Viren von Außen eine Verbindung zum Programm aufnehmen, die Lücke ausnutzen und so in den Rechner kommen. „Blaster“ und „Sasser“ haben sich auf diese Art verbreitet. Deswegen gilt: Je weniger Programme von Außen erreichbar sind, desto besser. Am sichersten ist es, solche Programme gar nicht erst zu starten – bei einigen Systemdiensten ist das aber nicht so einfach.

Für Systemdienste kann man als Fortgeschrittener oft aber die „Bindung“ an ein Netzwerkgerät entfernen: In der Liste der Netzwerkverbundungen rechtsklickt man auf das Gerät, wählt Eigenschaften – und wirft unnötige Häkchen raus. Die Datei- und Druckerfreigabe zum Beispiel braucht man nur, wenn man Dateien des eigenen Rechners für andere freigeben will. Zu guter Letzt kann man aber eingehende Verbindungen auch verhindern, indem man sie per Firewall sperrt. Da man meist unter Windows Probleme damit hat, alle Programme davon abzuhalten, eingehende Verbindungen anzunehmen, kann die Firewall-Lösung hier hilfreich sein.

Auch ältere Trojaner haben mit eingehenden Verbindungen gearbeitet: Sie warten auf eine eingehende Verbindung, und wenn jemand sich zum Trojaner verbindet, kann er den Rechner fernsteuern und Daten kopieren. Davor schützt eine Firewall auch, wenn der Trojaner sie nicht vorher abschaltet. Allerdings nutzen moderne Schadprogramme geschicktere Wege statt eingehender Verbindungen.

Dazu sollte man zunächst wissen: Die meisten Nutzer, welche daheim das Internet nutzen, benutzen einen Router. Nutzt man einen Rechner ausschließlich an einem Router, muss man sich um eingehende Verbindungen eher weniger Sorgen machen – die werden von den Routern normalerweise blockiert, solange der Nutzer sie nicht ausdrücklich freigibt oder der Router UPnP eingeschaltet hat und der eigene Computer die Verbindung aktiv anfordert.

Windows (ab XP SP2) hat bereits eine gute eingebaute Firewallsoftware. Diese blinkt nicht, stört nicht, verwirrt nicht mit seltsamen Meldungen – und wird gerade deswegen oft als schlecht abgetan. Im Gegensatz zu vielen anderen Produkten schützt sie aber schon beim Hochfahren, ist im Betriebssystem verankert und macht keine Probleme. Sie blockiert nur eingehende Verbindungen. Ausnahmen können leicht definiert werden, beim ersten Start von Netzwerkprogrammen wird man gefragt, ob man eingehende Verbindungen zulassen möchte. Einige Ausnahmen sind vordefiniert – das kann man ausschalten: Systemsteuerung – Windows-Firewall, Registerkarte „Ausnahmen“.

Ausgehende Verbindungen blockiert die Windows-Firewall nicht. Diese Verbindungen muss man nur blockieren, wenn man bereits laufende Programme daran hindern möchte, Verbindungen aufzubauen. Das ist in der Regel nicht nötig, und selbst wenn, weiß man als Normalnutzer nicht, was man zulassen und was man blockieren soll. Normalnutzer blockieren daher typischer entweder alles, oder geben alles frei. In einem Fall wundern sie sich dann, dass einige Programme nicht richtig laufen (und Updates nicht funktionieren!), im anderen Fall bietet die Firewall keinen weiteren Schutz. Darüber hinaus können geschickte Trojaner legitime, in der Firewall freigegebene Programme missbrauchen, um ins Internet zu kommunizieren.

Ein Virus oder Trojaner, der sich auf dem Rechner einnistet, kann technisch gesehen in den meisten Fällen die Firewall einfach ausschalten – sofern er so programmiert wurde. Da sich nicht alle Malwareentwickler diese Mühe machen, kann eine Firewall tatsächlich verhindern, dass ein Trojaner ins Netz kommuniziert. Allerdings sollten Schutzmaßnahmen zum Ziel haben, zu verhindern, dass der Trojaner überhaupt zum Zug kommt. Wenn man sich was eingefangen hat, ist es meist eh zu spät.

Für den typischen Normalnutzer macht das Blockieren ausgehender Verbindungen keinen Sinn. Es kann aber zu ziemlichen Problemen führen, wenn ein Programm plötzlich nicht kommunizieren kann.

Ein Beispiel für eine Firewall-Software ist ZoneAlarm. Diese wird oft kritisiert, da sie viele Probleme verursachen soll. Ich hatte vor Jahren die kostenlose Version einige Zeit im Einsatz und war erfreut darüber, wie einfach und gut sich das Programm konfigurieren lässt, und hatte auch keine Probleme – weil ich wusste, was ich wie einstellen muss und will. Ich habe aber auch ein Netzwerk mit fast 200 Nutzern betreut, die dort ihre Privatrechner hatten. Wenn jemand nicht auf den Server kam, war die erste Frage „Ist Zonealarm installiert?“, meist gefolgt von „Ja“ und „Dann schmeiß es runter und mach die Windows-Firewall an“, womit das Problem behoben war. Ein normaler Nutzer kann es nicht richtig konfigurieren, und dann macht es Probleme. (ZoneAlarm soll wohl noch Programmierfehler enthalten, die auch bei richtiger Konfiguration absurde Probleme machen können, viele Probleme mit ZoneAlarm sind aber durch die Nutzer verursacht.)

Solche Konfigurationsfehler macht ein normaler Anwender auch mit anderer Software. Die bereits bei den Antivirenprogrammen erwähnten „gelben Schachteln“ von Norton/Symantec können auch Firewallsoftware enthalten (z. B. als „Internet Security“) und machen auch damit liebend gerne Schwierigkeiten – ohne nennenswerten Mehrwert. Die zu Internetanschlüssen oft für einen Monatsbeitrag angebotenen „Sicherheitspakete“ sind meist Norton/Symantec-Software. Selbst wenn so ein Paket kostenlos/inklusive sein sollte, würde ich einen Bogen darum machen.

Die allgemeinen Nachteile, die ich bei der Antivirensoftware schon genannt hatte (neue Verwundbarkeiten, bremst System, frisst Speicher) kommen zu den durch fehlkonfigurierte Firewalls oft verursachten Fehlern noch dazu.

In der Bemühung, einen (angeblichen) Mehrwert zu bieten, haken sich immer mehr Programme zum Beispiel in den Browser ein, und markieren Suchergebnisse nach sicher und unsicher. Nicht nur dass diese Erkennung nicht sonderlich zuverlässig ist, sie bremst auch den Browser und kann lustige Probleme verursachen, die man lange sucht.

Um klarzumachen, wie wichtig die Firewalls sind, nerven sie oft mit Anzeigen, wie viele Angriffe gerade abgewehrt werden, um dem Kunden klarzumachen, dass er die Firewall (und ihre kostenpflichtigen Aktualisierungen) weiter braucht. Diese Anzeigen sind meist völliger Unsinn – es werden Dinge angezeigt, die keine ernsthafte Gefahr darstellen.

Wer die eingebauten Kindersicherungen toll findet, die kleine Kinder von bösen Pornoseiten fernhalten sollten, sollte die Idee schnell vergessen. Das funktioniert nicht. Zu viel Schund bleibt weiter erreichbar, und viel zu viele legitime Seiten werden gesperrt. Mal abgesehen davon dass der Nachwuchs sich oft besser mit dem System auskennt und gute Chancen hat, die Sperre zu umgehen oder auszuschalten. Eine Software kann keine Eltern ersetzen, die das Kind im Internet begleiten.

Fazit: Die Windows-Firewall hat alles, was man in der Regel benötigt. Sie kostet nichts, nervt nicht und macht einfach ihren Job. Es ist nicht sinnvoll, viel Geld für irgendwelche kommerziellen „Internet Security“-Pakete auszugeben – und mit einem langsamen Rechner und ständigen Warnmeldungen dafür belohnt zu werden. Wer mir nicht glaubt, schaue z. B. in dieser c’t-FAQ unter „Firewall“. (Die Einschätzung zu sicheren Browsern teile ich nur teilweise)

Serie Virenschutz: Nutzlose Virenscanner

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich nun Ratschläge gegeben habe, wie man sich tatsächlich schützen kann, möchte ich zum Schluss auf das Thema zurückkommen, was mich zu dieser Serie bewegt hat: Die Nutzlosigkeit und sogar Gefährlichkeit von Virenscannern.

Dieser Artikel gibt den Stand im Jahr 2010 wieder. Die meisten Punkte (insbesondere, dass Updates wichtiger als Virenscanner sind) gelten weiterhin, allerdings würde ich heutzutage (2014) einen Virenscanner als sinnvolle Ergänzung bezeichnen – insbesondere auf PCs, wo Laien selbst Software installieren können. Neben dem Schutz vor älterer Massenmalware und -adware bieten insbesondere reputationsbasierte Ansätze einen gewissen Schutz. Seltene Dateien sind verdächtig – und somit wird es für Malware-Autoren schwerer, jedem Nutzer eine zufällig generierte Variante unterzuschieben, um signaturbasierten Ansätzen auszuweichen.

Nachdem ich nun Ratschläge gegeben habe, wie man sich tatsächlich schützen kann, möchte ich zum Schluss auf das Thema zurückkommen, was mich zu dieser Serie bewegt hat: Die Nutzlosigkeit und sogar Gefährlichkeit von Virenscannern.

Virenscanner geben ein falsches Sicherheitsgefühl – verlässt man sich drauf, ist man sogar mehr gefährdet als komplett ohne Virenscanner: Es werden bei weitem nicht alle Viren gefunden, gerade neue Viren oder Exploits können lange genug undetektiert bleiben, um zahlreiche Rechner zu infizieren. Aber auch wenn man diesen Fehler nicht macht, haben Virenscanner gravierende Nachteile:

Ständige Falschalarme – Immer wieder melden Virenscanner eigentlich harmlose Programme als Virus, gelegentlich sogar Systemdateien von Windows. Löscht man diese, fährt das System nicht mehr hoch – nur durch den Virenscanner hat man sein System zerstört. Sowas passiert bei fast allen Herstellern früher oder später. Beispiele: 1 2 3 4 5) Falschalarme sind inzwischen sehr häufig, meist aber nicht in kritischen Systemdateien. Diese Falschalarme verwirren oft sogar Gruppen von Profis – Mozilla hat ein fälschlicherweise als infiziert gemeldetes Add-On von der Seite geworfen (Stellungnahme). Und es ist nicht etwa so, dass nur ein Virenscanner einen jeweiligen Falschalarm hat – die Hersteller schreiben alle voneinander ab, sodass ein Falschalarm sich schnell verbreitet. Ein schönes Beispiel dafür ist dieser Heise-Artikel.

In die Mainstream-Nachrichten schaffen es die wenigsten Fälle, selbst IT-Medien wie heise online schreiben nur von Fällen, die besonders große Schäden angerichtet haben. Auf einem von mir betreuten Rechner stürzt seit einer Säuberungsaktion von AntiVir der vorinstallierte Bildschirmschoner wegen fehlender Dateien ab. Auf meinem mit vielen Tools ausgestatteten Rechner treten irgendwelche Fehlalarme rund einmal pro Monat auf – und zwar nachdem ich die Problemkategorien ausgeschlossen habe, die oft missbrauchte, aber für sich unschädliche Tools enthalten. Meist werden diese Fehler nach einer Meldung an den Hersteller nach wenigen Tagen behoben, wie dieses Beispiel zeigt: Ein seit vielen Jahren unveränderter Updater wird plötzlich erkannt. Ich schicke ihn bei jottis Multiscanner ein, und jeden Tag kommen mehr Antivirenprogramme hinzu, die ihn erkennen. Auf eine erste Nachfrage erklärt Avira, der Hersteller von AntiVir, dass es tatsächlich ein Virus sei, auf nochmalige ausdrückliche Nachfrage wird die Datei erneut analysiert: Harmlos – was die anderen Antivirenhersteller aber nicht stört, auch über eine Woche später nicht. Entweder es war ein Virus, wurde also rund 5 Jahre lang nicht erkannt, dann für einen Virus gehalten und fälschlicherweise dann wieder für harmlos, oder (und davon gehe ich aus) ein harmloses Stück Software wird nach 5 Jahren plötzlich fälschlicherweise von vielen Antivirenprogrammen für einen Virus gehalten.

An diesem Beispiel sieht man, dass die Warnungen der Antivirenprogramme weitgehend wertlos und oft sogar gefährlich sind. (Update: siehe auch diesen Artikel, der zeigt, wie lächerlich die Erkennungsmuster sind.) Ernst nehmen kann man die Warnungen jedenfalls nicht mehr – und somit sind die Scanner auf ansonsten halbwegs gesicherten Systemen mit vernünftigen Benutzern nutzlos. Auf ansonsten schlecht gesicherten Systemen bzw. auf Systemen mit unvorsichtigen Nutzern können solche Scanner einige Schädlinge abfangen – einen wirklichen Schutz können sie in einer solchen Situation aber auch nicht bieten.

Aber auch von den Programmen selbst kann eine Gefahr ausgehen – schließlich schaut sich ein Virenscanner jede Datei an, und wenn diese Funktionen fehlerhaft sind, kann das eine Angriffsfläche für die bereits erwähnte Exploit-Malware geben. So gut wie jedes Antivirenprodukt hat oder hatte solche Lücken.

Selbst wenn Antivirenprogramme keine solche Fehlfunktionen zeigen, verlangsamen sie das System und fressen wertvollen Speicher.

Wenn man die Angriffswege wie beschrieben abgesichert hat und aufpasst, keine Datei-Malware herunterzuladen, braucht man so ein Antivirenprogramm nicht unbedingt – aktuelle Programme sind auf jeden Fall wichtiger als ein Virenscanner! Ich habe bisher vor allem aus einem Grund ein Antivirenprogramm: Die AGB der Banken schreiben vor, dass man die Sicherheitshinweise auf deren Website zu beachten hat – und diese fordern wiederum die Installation eines Antivirenprogramms. Telefonisch sieht das zwar die Hotline der Postbank anders, aber ich habe keine Lust, in einem Schadensfall mit der Bank vor Gericht diskutieren zu müssen, warum ich kein Antivirenprogramm auf dem Rechner hatte.

Es gibt allerdings keinen Grund, den Herstellern auch noch Geld in den Rachen zu werfen. Das auch von mir verwendet kostenlose AntiVir von Avira reicht völlig, kostenpflichtige Produkte sind auch nicht wirklich besser. Nur die in der kostenlosen Version angezeigte Werbung sollte man nicht zu ernst nehmen. Der Verkauf von Antivirensoftware (und Sicherheitssoftware im Allgemeinen) ist heutzutage vor allem ein Geschäft mit der Angst der Ahnungslosen.

Die meist aggresiv vertriebenen „gelben Schachteln“ (Symantec/Norton), die ich leider oftmals installiert vorfinde, wenn jemand mich um Hilfe bei seinem Computerproblem bittet, sind grauenhaft. Sie verursachen Probleme ohne Ende, können das System erheblich verlangsamen und sind oft schwer zu deinstallieren. Abgesehen davon berichten Kunden von ziemlich unseriösen Methoden – da wird plötzlich Geld für ein Abo abgebucht, was man nicht bestellt hat – einen Betroffenen kenne ich persönlich, weitere Fälle sind im Link genannt. Die Werbung erweckt den Eindruck, man habe die Wahl, ein Symantec-Produkt zu kaufen, oder man würde seine Familienfotos, sein Geld und alles was einem lieb ist an Viren und Hacker verlieren. Als ich die Werbung im Zug sah, wurde mir schlecht – es ist ein ziemlich offensichtlicher Versuch, ahnungslose PC-Neulinge mit Emotionen zum Kauf zu bewegen. Eine schöne Parodie bringt es auf den Punkt. Das „Finger weg“ gilt übrigens auch für die meisten „Sicherheitspakete“, die Internetprovider mitverkaufen. Meistens ist es Symantec/Norton. Nicht ohne Grund wird die Firma im Netz oft als „Symandreck“ bezeichnet, und das Sprichwort „Nimm Software aus gelben Schachteln nur, wenn Du auch gerne gelben Schnee isst“ enthält einen wahren Kern.

Zu Firewallsoftware (und auch zu den sogenannten „Internet-Sicherheitspaketen) allgemein gibt es noch einen eigenen Artikel – da sieht es nämlich nicht besser als bei den Antivirenprogrammen aus.

Um das Problem der Nichterkennung nochmal zu verdeutlichen:
Für eine Sicherheitsvorführung habe ich mal eine Art Virus weitestgehend aus einem weit verbreiteten und öffentlich verfügbaren Baukasten (metasploit) zusammengeklickt – also etwas, was eigentlich die Virenscanner (er)kennen könnten. Das habe ich über virusscan.jotti.org mit 20 Virenscannern gescannt. Diese Seite leitet die eingesandten Dateien auch an Antivirenhersteller weiter, damit diese die Erkennung einbauen können, falls es sich um Viren handelt. Ein einziger Scanner hat etwas gemeldet. Heute, Jahre später, habe ich erneut gescannt. Das traurige Ergebnis: ein paar unbekannte Virenscanner melden einen vagen Verdacht. Das die bekannteren das nicht melden, dürfte eher daran liegen, dass die Unbekannten auf alles mögliche anspringen und dadurch auch irre viele Fehlalarme riskieren – siehe dazu oben. Die nur 1 KB große Datei erlaubt es übrigens, den Rechner auf dem sie gestartet wird mit den Rechten des startenden Benutzers komplett unsichtbar beliebig fernzusteuern. Sie installiert sich nicht und hinterlässt keine Spuren, wenn sie – wie bei der Vorführung vorgesehen – beim Öffnen eines harmlos aussehenden USB-Sticks unsichtbar automatisch gestartet wird. Und das war übrigens die unverschleierte, leicht erkennbare Version. Eine Fassung mit nahe am Standard liegenden Verschleierungsoptionen wird überhaupt nicht erkannt.

Serie Virenschutz: Datei-Malware

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Wenn man die bisherigen Artikel dieser Serie gut verfolgt hat, ist man schon recht gut gegen Exploit-Malware geschützt. Was nun mit der Datei-Malware? Diese behandle ich erst jetzt, weil man sich dagegen relativ gut schützen kann – ganz ohne spezielle Software. Dafür sind allerdings Grundkenntnisse erforderlich. Wer sich wirklich schlecht mit Computern auskennt, hat leider kaum eine Chance, weil immer neue Fallen erfunden werden.

Datei-Malware sind Viren und andere Schädlinge, die einem als Datei geliefert werden und darauf hoffen, dass der Anwender sie startet. Deswegen sind sie für erfahrene Nutzer weitgehend ungefährlich, Anfänger fallen immer wieder auf diverse Tricks rein.

Bei Datei-Malware kann ein Virenscanner übrigens tatsächlich manchmal helfen, weil die Viren oft älter sind und so mehr Virenscanner sie kennen. Wenn aber der Virenscanner einen retten muss, hat man schon einen Fehler gemacht. Verlässt man sich hingegen auf den Virenscanner und hält alles, wovor er nicht warnt, für harmlos, ist man verlassen – und zwar von allen guten Geistern. Denn Virenscanner übersehen immer noch ziemlich viel, und zwar alle. Warum Virenscanner nichts taugen, erklärt ein eigener Artikel. Besser ist es also, zu lernen, worauf man achten muss.

Wie bereits erwähnt, sind Updates extrem wichtig. Deswegen bieten diverse Seiten jetzt gefälschte Updates an, die in Wirklichkeit Viren enthalten. Wichtig ist daher, Updates nur aus vertrauenswürdigen Quellen zu installieren. Weil damit viele Menschen große Schwierigkeiten haben und das Updaten nicht nur der wichtigste, sondern auch der aufwändigste Teil der Sicherheit ist, widmet sich diesem Problem der Artikel „Updaten – aber sicher!„.

Das man seltsame Anhänge nicht öffnet, ist inzwischen bekannt. Während Profis über die hundertste Mail mit einer angeblich überhöhten Rechnung im Anhang („Rechnung.pdf.exe“) nur müde lächeln können, fallen trotz aller Warnungen ständig Leute darauf hinein. Die häufigste Fehlannahme: Das Antivierenprogram werde einen schon schützen. Dass man vermeintliche „Sicherheitsupdates“, die man per E-Mail geschickt bekommt (egal ob als Anhang oder Link) nicht installieren sollte, versteht sich von selbst.

Absenderadressen bei E-Mails können beliebig gefälscht sein. Wenn einem ein Freund also schreibt, dass man auf der Party total besoffen war und sich unbedingt das Foto im Anhang anschauen soll, muss die Mail noch lange nicht echt und von ihm sein. Ebensowenig, wenn „Microsoft Security“ einem ein neues Update anbietet.

Genau wie ein Anhang sind auch Links in Mails zu behandeln. Von einem Fremden nimmt man keine Süßigkeiten an. Wenn der Fremde einem jetzt stattdessen sagt, man solle um die Ecke gehen und dort die (von ihm abgelegte) Schachtel nehmen, sollte man das also auch nicht tun – und genausowenig sollte man irgendwelchen Links folgen und dort dann Sachen herunterladen.

Inzwischen signieren übrigens immer mehr Hersteller ihre Software. Beim Ausführen (nach dem Herunterladen) zeigt in der ersten Warnung Windows dann an, von wem die Software ist. Wenn man Firefox von Mozilla installieren möchte, und als Ersteller nicht Mozilla (genauer: derzeit die „Mozilla Corporation„) drinsteht, hat man vermutlich nicht, was man wollte. (Wenn die Datei „Hotbar installer.exe“ heißt, erst recht nicht.) Und wenn die Website, von der man das Teil herunterlädt, offensichtlich nicht die Herstellerwebsite ist oder ein so gebrochenes Deutsch spricht, dass klar ist dass es zweimal durch einen automatischen Übersetzer gegangen ist, möchte man von da auch nichts herunterladen. Soviel gesunder Menschenverstand sollte auch im Internet selbstverständlich sein. Ist er aber leider nicht.

Neue Programme sollte man aus vertrauenswürdigen Quellen besorgen und nicht auf der erstbesten Seite herunterladen. Wenn man bei Google nach „Firefox“ sucht, bekommt man manchmal Werbung angezeigt, die einem einen Firefox-Download anbietet. Für diese Werbung zahlen die Leute richtig Geld. Das bekommen sie dann von ihrem Auftraggeber wieder, wenn man deren Version von Firefox herunterlädt – da ist nämlich Werbe-Malware dabei. Lustigerweise installiert sich diese erst nach einer recht deutlichen Warnung, und trotzdem kenne ich einige, die sich das Teil eingefangen haben.

Vermeintlich nötige „Codecs“, die zwielichtige Video- und Pornoseiten einem gerne anbieten sollte man so auch auf keinen Fall installieren. Meistens ist es ein Virus.

Noch beliebter sind falsche Virenscanner/-warnungen, die einem vormachen, man hätte zahlreiche Viren und müsste jetzt ein tolles Produkt kaufen, um sie loszuwerden. Leider geht die Werbung halbwegs seriöser Antivirenhersteller inzwischen oft in eine ähnliche Panikmach-Richtung. Merke: Wenn etwas versucht Panik zu machen, um gekauft zu werden, sollte man es nicht kaufen. Allgemein macht es wenig Sinn, für Antivirensoftware und Firewalls bzw. „Internetsicherheitspakete“ Geld auszugeben, siehe die Artikel zu Virenscannern und Firewalls.

Serie Virenschutz: Exploit-Malware – Plugins schützen!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Im letzten Teil habe ich erklärt, wie Exploit-Malware funktioniert und was man wie und warum schützen muss. Hier gehe ich im Detail darauf ein, welche Maßnahmen sinnvoll sind, um die besonders fehleranfälligen und gefährdeten Browser-Plugins zu schützen.

Die zwei wichtigsten Plugins, die in der Vergangenheit für die meisten Sicherheitslücken verantwortlich sind, sind Adobe Flash und der Adobe Reader. Ersteres wird hauptsächlich für Youtube-Videos, Flashgames, schlecht programmierte Webseiten und nervige Werbung eingesetzt. Ohne Flash sind viele Seiten leider nicht vollständig nutzbar, ein Verzicht kommt also kaum in Frage. Der Adobe Reader dient zur Anzeige von PDF-Dateien. Auch darauf kann man kaum verzichten. Diese beiden Programme müssen aber auch jeden Fall topaktuell gehalten werden! Wie man das am Besten macht, erklärt der separate Artikel „Updaten – aber sicher“ aus dieser Serie.

Leider gibt es gerade bei diesen beiden Programmen immer wieder Lücken, die erst geschlossen werden, wenn sie überall missbraucht werden. Daher sollte man die Angriffsfläche reduzieren, indem man möglichst wenig Zugriff auf diese Plugins erlaubt.

Mithilfe eines Firefox-Addons namens NoScript kann man bei richtiger Einstellung (auch ohne JavaScript zu blockieren!) verhindern, dass unbekannte Seiten ohne ausdrückliche Freigabe PDF-Dateien oder Flash-Animationen anzeigen (Registerkarte „Eingebettete Objekte“ in den Einstellungen). Das hat den Vorteil, dass wenigstens unsichtbar eingebundene Malware außer Gefecht gesetzt wird. Außerdem verschwindet die blinkende und den Computer bremsende Werbung auf vielen Seiten. Das bereits im letzten Artikel genannte „AdBlock Plus“ bietet zusätzlichen Schutz.

Im Adobe Reader kann man darüberhinaus JavaScript deaktivieren. Während man viele Webseiten nicht mehr vollständig nutzen kann, wenn man JavaScript im Browser deaktiviert, bleibt eine Deaktivierung von JavaScript im Reader ohne große Folgen. Viele Sicherheitslücken befinden sich aber gerade im JavaScript-Teil, und viele Exploits nutzen JavaScript, um zu funktionieren, selbst wenn es theoretisch auch ohne ginge. JavaScript zu deaktivieren ist also auf jeden Fall eine gute Wahl. Dies kann man tun, indem man Adobe Reader startet, im Menü „Bearbeiten“ den Punkt „Voreinstellungen“ wählt, dort die Kategorie „JavaScript“ auswählt und oben das Häkchen bei „Acrobat JavaScript aktivieren“ entfernt. Nach Update sollte man prüfen, ob das Häkchen nicht zurückgekommen ist. Sollte ein Dokument ausnahmsweise doch JavaScript brauchen (wie z. B. bestimmte interaktive Formulare), bekommt man eine gelbe Warnleiste und kann für dieses eine Dokument JavaScript freigeben, wenn es aus einer vertrauenswürdigen Quelle stammt.

Media-Player-Software wie Quicktime, RealPlayer, VLC und DivX installiert oft ebenfalls Plugins. Diese werden gemeinsam mit der Software aktualisiert. Auch die müssen immer aktuell sein! Wenn man nicht weiß, wie man ein bestimmtes Programm aktualisieren kann – meist findet sich im „Hilfe“-Menü des Hauptfensters eine Updatefunktion, was auch der sicherste Weg für Updates sein dürfte.

Java ist inzwischen im Web kaum noch verbreitet, außer für exotische Spiele und Physik-Vorführapplets – dennoch ist es auf vielen Rechnern noch installiert. Die einfachste Lösung ist hier, Java im Browser einfach abzustellen, wenn man es nicht braucht: Im Menü „Extras“ auf „Add-Ons“, oben „Plugins“ wählen, alles wo „Java“ steht deaktivieren. Ansonsten muss man auch Java aktuell halten, am Besten über Systemsteuerung – Java – Aktualisierungen.

Wichtig bei den Plugin-Updates ist es, nicht auf gefälschte Updates hereinzufallen. Dieses Thema behandelt ein eigener Artikel: „Updaten – aber sicher!„

Serie Virenschutz: Echter Schutz vor Exploit-Malware – kostenlos!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Im Einleitungsartikel hatte ich bereits erklärt, wie ich Schadsoftware (Malware) unterteile. In diesem Teil möchte ich mich der Exploit-Malware widmen, also Viren und Schadsoftware, welche über das Ausnutzen von Sicherheitslücken auf das System kommt, und erklären, wie man sich schützen kann.

Das Wichtigste ist dabei: Ohne Sicherheitslücke kann die Exploit-Malware einem nichts anhaben. Deswegen ist es wichtig, die Angriffsfläche zu reduzieren und Updates zügig zu installieren, siehe Artikel „Updaten – aber sicher!„. Angriffsfläche reduzieren heißt, die Anzahl der von außen erreichbaren Programme zu reduzieren, wo möglicherweise Sicherheitslücken lauern könnten. Die „besten“ Einfalltore sind Browser und E-Mail-Programm. Neben dem Browser selbst (d.h. z. B. Firefox) muss man auch im Browser eingebettete Programme, sogenannte Plugins, aktuell halten – denn auf diese können Webseiten zugreifen und ihnen manipulierte Daten liefern. Firefox aktualisiert sich zum Glück automatisch. Den Internet Explorer sollte man nicht nutzen, da die zahlreichen vorhandenen Sicherheitslücken oft lange offen gelassen werden.

Nachtrag: Eine c’t-FAQ empfiehlt, wenig verbreitete Browser zu nutzen, da diese selten angegriffen werden. An der Behauptung ist sicherlich etwas dran, allerdings erkauft man sich das oft durch geringere Funktionsvielfalt und muss teilweise auch auf sicherheitsrelevante Hilfsmittel wie AdBlock (siehe unten) verzichten. Neben dem Interesse von Kriminellen, Angriffe zu entwickeln, spielt es auch eine Rolle, wie leicht das zu machen ist und wie schnell Lücken geschlossen werden – und in der Hinsicht halte ich Firefox für relativ sicher. Internet Explorer ist nicht nur ein beliebtes Angriffsziel, sondern auch voller Sicherheitslücken, die oft erst spät geschlossen werden.

Den Plugins wende ich mich in einem eigenen Artikel „Exploit-Malware: Plugins schützen!“ ausführlich zu, und erkläre da, welche einfachen und kostenlosen Schutzmaßnahmen man treffen kann und sollte, um das Risiko zu minimieren.

Exploit-Malware kann man auf verschiedene Arten bekommen – man besucht unseriöse Seiten, entweder weil man Links in Spammails anklickt oder Pornos oder Raubkopien/Cracks auf den falschen Seiten sucht, man besucht eine seriöse Seite, die gecrackt wurde, oder man besucht eine ganz normale, seriöse Seite, wo verseuchte Werbung drin ist. Das passiert immer wieder und betrifft oft richtig große Seiten. Dagegen (und gegen das Ausspähen durch Werbestatistikserver und gegen nerviges Geblinke) schützt es, Werbung zu blockieren. Dazu bietet sich für Firefox das Plugin „AdBlock Plus“ an, welches ich derzeit mit den Listen Dr. Evil, EasyList (USA), Rick752’s EasyPrivacy und Ares‘ ABP Liste betreibe. So sehe ich kaum noch Werbung, kann schneller surfen und bin besser geschützt. Kosten tut mich das keinen Cent, ich muss nichts manuell Updaten und Fehler in Form von „verschwundenen“ (fälschlich geblockten) Teilen von Webseiten passieren inzwischen so gut wie nie.

Ebenfalls gefährdet sind Office-Anwendungen und das Betriebssystem selbst. Während letzteres meist von ein oder mehreren Firewalls geschützt wird, öffnet man in Office-Anwendungen häufig Dokumente aus unbekannten Quellen. Virenscanner erkennen zwar teilweise auch verseuchte Dokumente, sind dabei in der Regel aber unzuverlässig, selbst bei älteren Angriffen. Neuere Angriffe werden meist nicht erkannt. Deswegen ist es wichtig, auch diese Programme aktuell zu halten. Unter Windows gibt es dafür neben dem Windows Update, welches nur das Betriebssystem aktualisiert auch noch Microsoft Update – dieses aktualisiert auch Microsoft Office. Wie genau man diese Funktionen nutzt, steht im Artikel „Updaten – aber sicher!„.

Noch sicherer fährt man natürlich damit, statt Microsoft Office eine freie, kostenlose Alternative wie OpenOffice einzusetzen, aber auch die sollte man regelmäßig über die eingebaute Updatefuktion aktuell halten.

Generell muss man alle Programme aktuell halten, die Kontakt mit „fremden“ Daten haben. Neben den genannten sind noch am häufigsten diverse Mediaplayer betroffen – Quicktime, RealPlayer, VLC und wie sie alle heißen müssen – sofern installiert – ständig aktualisiert oder einfach entfernt werden. Auch hier hilft der Artikel „Updaten – aber sicher!„.

Serie Virenschutz: Einleitung, Angriffswege

Virenscanner sind weitgehend unnütz. Dazu wollte ich gerade einen eigenen Artikel schreiben. Nachdem der Entwurf zu lang wurde und zu viele Tipps enthielt, wie man sich wirklich gegen Viren und Malware schützt, habe ich mich entschlossen, eine Serie daraus zu machen.

Sich vor Schadsoftware zu schützen ist gerade für Menschen mit geringen Computerkenntnissen schwer. Viele verzichten daher darauf und riskieren damit nicht nur, dass ihre persönlichen Daten ausgespäht oder zerstört werden – sie gefährden und schädigen auch andere, denn ein verseuchter Rechner wird meist dazu missbraucht, Spam zu versenden, Angriffe auf andere Rechner durchzuführen oder andere illegale Dinge zu tun. (Ja, auch die Verbreitung von Kinderpornographie kann auf diese Art und Weise stattfinden.)

Insbesondere durch die Werbung der Antivirensoftwarehersteller entsteht oft der Eindruck, ein gutes Antivirenprogramm sei der beste Schutz oder würde reichen, um sich zu schützen. Das ist leider Unsinn, wie im folgenden erklärt und begründet wird.

Entgegen der üblichen, veralteten Kategorisierung in Viren, Würmer etc. würde ich die heute gängige Schadsoftware (Malware) nur noch nach dem Infektionsweg in zwei Kategorien einteilen: Exploit-Malware und Datei-Malware. Datei-Malware bekommt man, wenn man ein vermeintliches „Update“ herunterlädt oder eine vermeintliche Rechnung (.pdf.exe) in einer E-Mail öffnet, die aber den Virus enthält. Dagegen schützt ein gesunder Menschenverstand und einige Grundkenntnisse. Exploit-Malware hingegen bekommt man, indem man eine eigentlich nicht ausführbare Datei, z. B. PDF, HTML, JPEG, DOC oder ähnliches, mit fehlerhafter Software öffnet, und die Datei so manipuliert ist, dass sie den Fehler ausnutzt um Malware zu installieren.

Die Tendenz geht derzeit immer mehr zu Exploits. Eine Infektion über Exploits setzt allerdings voraus, dass eine Sicherheitslücke vorhanden ist und der Angreifer versucht, genau diese Lücke auszunutzen. Die ständigen nervigen Updates schließen diese Lücken. Meist erfahren die Hersteller von Lücken, bevor Virenschreiber diese missbrauchen, und geben Updates heraus. Wochen oder Monate nachdem das Update öffentlich wurde, schwappt dann eine Virenwelle durch das Land und infiziert diejenigen, zu zu faul oder zu ahnungslos waren, um die Updates zu installieren. Es gibt auch seltene „Zero-Day-Exploits“, die öffentlich bekannt werden, bevor ein Update verfügbar ist. Dagegen ist Schutz nur sehr schwer möglich. Aber auch diese Exploits werden selten in großem Maße ausgenutzt, bis ein Update verfügbar ist.

Generell sollte man nicht mit vollen Adminrechten arbeiten, damit Malware sich nicht so leicht einnisten kann. Was unter XP noch relativ umständlich sein kann, ist in den neueren Windows-Versionen viel leichter (und vor allem standardmäßig aktiv), was die Verbreitung von Malware bei den neuen Versionen bereits deutlich gesenkt hat.

Spezielle Tipps zum Schutz vor den einzelnen Malwarearten gibt es in den weiteren Teilen. Dabei gehe ich davon aus, dass als Betriebssystem Windows (XP oder neuer) und als Browser Mozilla Firefox verwendet wird, welcher relativ sicher ist und viele Funktionen bietet. Wer noch den Internet Explorer nutzt, sollte dringend wechseln, da mit diesem die Sicherheit nicht gewährleistet werden kann. Hier nicht erwähnte Browser sind nicht unbedingt unsicherer, aber ich kann nur für Firefox Ratschläge für eine gute Konfiguration geben.

Wichtig: Es geht hier um den Schutz für Privatrechner vor allgemeinen, gestreuten Angriffen. Wenn jemand gezielt in einen bestimmten Rechner rein will, kommt er i.d.R. rein. Der Schutz von Firmennetzen ist eine Wissenschaft für sich.

Die Artikel, die diese Woche erscheinen werden:

• Echter Schutz vor Exploit-Malware – kostenlos
• Exploit-Malware – Plugins schützen!
• Updaten – aber sicher!
• Datei-Malware
• Nutzlose Virenscanner
• Firewalls

Ich verweise sicherheitshalber darauf, dass diese Serie urheberrechtlich geschützt ist. Es ist natürlich erlaubt und willkommen, darauf zu verlinken. Es ist ebenso in Ordnung, kurze Teile mit klarer Quellenangabe zu zitieren. Ich habe natürlich auch nichts dagegen, wenn sich jemand Artikel abspeichert, an ein paar Freunde schickt oder für sie ausdruckt. Es ist aber nicht in Ordnung, ganze Artikel ungefragt auf die eigene Website zu übernehmen, den Inhalt ohne Quellenangabe zu verwenden oder gar in irgendwelche Tippsammlungen zu übernehmen oder gedruckte Fassungen davon weiterzuverkaufen.

Kostenlose SSL-Zertifikate, auch für IE

Um verschlüsselte Verbindungen über SSL bzw. HTTPS zu ermöglichen, benötigt man als Server-Betreiber ein SSL-Zertifikat. Diese werden von Zertifizierungsstellen, sogenannten CAs, ausgegeben. Die CA überprüft, ob der Bestellende wirklich berechtigt (also Inhaber der Domain) ist, und stellt dann meist gegen viel Geld das Zertifikat aus. Damit kann sich die Website gegenüber einem Browser „ausweisen“ und eine sichere, verschlüsste Verbindung wird möglich. Details gibt es in meinem ausführlichen SSL-Artikel, wo auch noch ein paar Worte über die Sicherheit von SSL stehen.

Nur Zertifikate von CAs, die der Browserhersteller als vertrauenswürdig in den Browser eingebaut hat, werden als gültig erkannt. Deswegen ist es schwierig, eine neue CA aufzubauen, denn die Kriterien für eine Aufnahme sind streng und es gibt viele Browserhersteller, die man zur Aufnahme bewegen muss. Aus diesem Grund gab es bis vor kurzem keine CA, die kostenlos Zertifikate ausgegeben hat und von allen gängigen Browsern akzeptiert wurde. CAcert und StartCom/StartSSL vergeben seit langem kostenlose Zertifikate. CAcert ist jedoch weder in Firefox noch im Internet Explorer als vertrauenswürdig enthalten. Somit kann man CAcert nicht für Seiten benutzen, die von Normalnutzern besucht werden, denn diese würden eine hässliche Sicherheitswarnung erhalten. StartSSL war schon länger in Firefox enthalten, jedoch nicht im Internet Explorer, und war für ernsthafte Nutzung mit unerfahrenen Nutzern daher auch ungeeignet.

StartSSL hat es jetzt aber endlich geschafft, in den Internet Explorer aufgenommen zu werden. Der Internet Explorer akzeptiert die kostenlosen StartSSL-Zertifikate somit seit kurzem als gültig. Dank einer eingebauten Auto-Update-Funktion funktioniert das auch mit veralteten Versionen des IE! Ein IE 6.0 aus meiner Sandbox-VM, Stand Anfang 2008, hat das Zertifikat anstandslos akzeptiert. Mozilla Firefox, Apple Safari (inkl. dem iPhone-Browser), Opera, Google Chrome und einige andere akzeptieren StartSSL schon länger, damit sind alle gängigen Browser abgedeckt. (Lediglich Konqueror unter einer aktuellen (K)Ubuntu-Version hatte Probleme damit.) StartSSL ist somit endlich eine voll einsetzbare CA geworden, und somit gibt es endlich kostenlose SSL-Zertifikate für alle! (StartSSL bietet übrigens auch EV-Zertifikate zu relativ humanen Preisen an.) Edit: Opera (etwa 5% Marktanteil) unterstützt StartSSL scheinbar leider doch noch nicht.

Als Serverbetreiber muss man übrigens der CA nicht besonders vertrauen (solange man nicht irgendwelche sehr besonderen Sachen macht wie Client-Zertifikate, aber das weiß man dann), wichtig ist nur, dass die Browser die CA akzeptieren. Eine bösartige, aber in Browsern als vertrauenswürdig eingetragene CA kann sich jederzeit für jede Website ein Zertifikat ausstellen lassen, unabhängig davon, ob der Websitebetreiber dort Kunde ist oder nicht. Die eigene CA könnte höchstens das eigene Zertifikat widerrufen und somit ungültig machen, aber mehr auch nicht. Darüber hinaus hat die CA noch ein paar persönliche Angaben, die aber bei einfachen Zertifikaten nicht über das hinausgehen, was die meisten Online-Shops auch wissen. Insbesondere den privaten Schlüssel des Zertifikats hat die CA normalerweise nicht! Es gibt zwar oft die Möglichkeit, die CA diesen Schlüssel generieren zu lassen, aber man kann es auch richtig machen und das selbst tun und den eigenen Schlüssel zertifizieren lassen. Selbst wenn man der CA also aus welchem Grund auch immer nicht vollständig vertrauen sollte, kann man sie als Serverbetreiber dennoch nutzen.

Ich erhalte für diesen Artikel keine Vergütung o.ä. von StartSSL/StartCom. Diesen Artikel habe ich geschrieben, weil es mich ankotzt, dass Firmen für das simple Ausstellen eines einfachen domain-validierten Zertifikats horrende Preise (oft sogar dreistellig!) verlangen, und weil ich froh bin, das es endlich eine kostenlose Alternative gibt und ich auf diese hinweisen möchte. Ich selbst habe von der Aufnahme in den IE auch erst heute erfahren. Nutzt diese kostenlose Möglichkeit, um die Datenübertragung zu euren Webseiten zu sichern! Macht diese Möglichkeit bekannt, damit die kommerziellen CAs ihre überzogenen Preise endlich etwas realistischer machen müssen.

Vorsicht, unfaire Banken-AGB-Änderungen

Alle deutschen Banken haben in den vergangenen Wochen AGB-Änderungen angekündigt, als Reaktion auf die EU-Zahlungsdiensterichtlinie bzw. deren Umsetzung in deutsches Recht. Die Banken weisen auf die Änderungen unterschiedlich transparent hin und gestalten die neuen AGB auch unterschiedlich kundenfreundlich. Die Änderungen umfassen unter anderem, dass Banken in Zukunft auch bei Papierüberweisungen nicht mehr prüfen müssen, ob Empfängerkontonummer und -name zusammenpassen (bisher war das nur bei Onlineüberweisungen so). Das Zurückrufen von Überweisungen, welches zumindest theoretisch bisher in einem engen Zeitrahmen möglich war, wurde glaube ich auch eingeschränkt. So weit, so schlecht, für jemanden der eh immer Online überweist ändert sich nicht viel – dachte ich. Falsch gedacht, erfahre ich jetzt durch einen Artikel bei der SZ: Wenn einem ohne Verschulden die EC-Karte geklaut wird, und diese dann genutzt wird, bevor man sie sperren kann, haftet man bis 150 EUR für den entstandenen Schaden. (Siehe dazu die Überlegungen unten zum Thema „Missbrauch ohne PIN“.) Wie ich zum Schluss herausgefunden habe, gibt es ähnliche Regelungen auch für das Onlinebanking, siehe unten!

Die Postbank verschickt „kleine“ Broschüren, Format ungefähr DIN Lang, Schriftgröße ca. 8. Umfang: 104 Seiten. Auf den ersten 7 Seiten gibt es eine „kurz“zusammenfassung der Änderungen in AGB und Bedingungen für einzelne Produkte. Zu „Bedingungen für die Postbank Card, für die MasterCard und VISA Card“ heißt es dort nur:

In den Bedingungen für die erwähnten Karten werden u. a. die Regelungen zur Sperrung der Karte, zum sorgfältigen Umgang mit Karte und Geheimzahl (PIN) sowie zur Haftung bei missbräuchlichen Verfügungen mit der Karte an das neue Zahlungsrecht angeglichen.

Ein schöner Euphemismus für „In Zukunft haften Sie bis 150 EUR, wenn Ihnen jemand die Karte klaut, selbst wenn sie alle Sicherheitsregeln beachten und den Diebstahl melden sobald sie ihn bemerkt haben“. Es wird auch der Eindruck erweckt, die Änderungen müssten aufgrund des neuen Gesetzes (hier: der neue § 675v BGB) so sein. Natürlich muss die Bank den Kunden nicht in die Haftung nehmen, sie nutzt aber die Gelegenheit, im Rahmen von zahlreichen unbedeutenden Änderungen auch gleich noch diese neue Möglichkeit so gut es geht auszunutzen. Verschärfend kommt hinzu, dass in den AGB selbst die Änderungen hervorgehoben werden, in den anderen Abschnitten jedoch nicht. So entsteht der Eindruck, der Rest hätte sich nicht geändert – auch ich bin ursprünglich darauf reingefallen. Die bisherige Regelung war so einfach wie kundenfreundlich (die alten Bedingungen können zumindest jetzt wo ich das hier schreibe noch hier abgerufen werden):

[Die Bank] übernimmt auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat.

Die neue Regelung von Seite 70 der Broschüre (Hervorhebung von mir):

Verliert der Karteninhaber seine Karte oder PIN, werden sie ihm gestohlen oder kommen sie sonst abhanden und kommt es dadurch zu nicht autorisierten Kartenverfügungen in Form von
– Abhebung von Bargeld an einem Geldautomaten
– Verwendung der Karte an automatisierten Kassen von Handels- und Dienstleistungsunternehmen
– Aufladung der GeldKarte
– Verwendung der Karte zum Aufladen eines Prepaid-Mobilfunk-Kontos,
so haftet der Kontoinhaber für Schäden, die bis zum Zeitpunkt der Sperranzeige verursacht werden, in Höhe von maximal 150 Euro, ohne dass es darauf ankommt, ob den Karteninhaber an dem Verlust, Diebstahl oder sonstigen Abhandenkommen ein Verschulden trifft.

Bei grober Fahrlässigkeit gilt die Begrenzung auf 150 EUR „natürlich“ nicht. Unter „automatisierten Kassen“ dürften normale Kassen mit EC-Terminal zu verstehen sein und nicht nur Self-Checkouts oder Automaten mit Kartenzahlung (z. B. DB-Ticket-Automaten), siehe hier. UPDATE: Die Postbank-Pressestelle sieht das nach Rücksprache mit den Juristen anders, in einer digital signierten Mail schreibt sie: „Eine „automatisierte Kasse“ ist eine solche, die ohne Einsatz von Personal arbeitet. Die Regelung bezieht sich also nur auf Automaten.“ – ich kann das nicht beurteilen, bin aber froh, diese Aussage signiert vorliegen zu haben..

Einige andere nette Sachen, von denen ich aber nicht genau weiß ob ich sie richtig verstanden habe:

• In den AGB war bisher sichergestellt, dass die Postbank AGB-Änderungen zwar für Onlinekunden Online übermitteln darf, „wenn die Art der Übermittlung es dem Kunden erlaubt, die Änderungen in lesbarer Form zu speichern oder auszudrucken„. Jetzt reicht es, wenn die Bank die AGB „anbietet“, der zitierte Teilsatz mit dem Speichern bzw. Ausdrucken ist weggefallen.
• Wie wohl im Gesetz festgelegt, gibt es bei den Kartenbedingungen eine Regelung, dass bei unautorisierten Kartenverfügungen die Bank den Betrag unverzüglich und ungekürzt erstatten muss. (S. 68, 12.1) Allerdings findet sich eine Ausnahme (12.4, S. 69f.), welche Ansprüche gegen die Bank z. B. dann ausschließt, wenn (Abs. 2) „die einen Anspruch begründenden Umstände auf einem ungewähnlichen und unvorhersehbaren Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt von ihr nicht hätten vermieden werden können“. Ob das z. B. auch abdeckt, wenn jemand die als sicher geltenden Kryptoschlüssel der Bank knackt und darüber das Konto leert? (Ich befürchte, das erfährt man verbindlich erst nach 3-10 Prozessjahren vom Richter)

UPDATE: Zum zweiten Punkt habe ich eine Auskunft der Postbank-Pressestelle:

Frage:
Punkt 12.4 Abs. (2) der Bedingungen für die PostbankCard schließt Ansprüche gegen die Bank für Fälle aus, die auf einem ungewöhnlichen, unvorhergesehenen Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen sie nicht vermeiden konnte. Bezieht sich das auch auf den Anspruch des Kunden aus 12.1, dem Kontoinhaber Beträge nicht autorisierter Kartenverfügungen zu erstatten?

Antwort:
Formal gesehen ist das richtig. Die Postbank und die übrigen Banken sowie auch alle Sparkassen setzen damit § 676c Nr. 1 BGB um. Danach sind Erstattungs- und Schadensersatzansprüche ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat, und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Der deutsche Gesetzgeber war gehalten, eine entsprechende Regelung in das deutsche Recht einzuführen, weil sich eine inhaltsgleiche Regelung in Art. 78 der Zahlungsdiensterichtlinie befindet. Im Ergebnis dürfte die Regelung in der Praxis keine Rolle spielen. Es sind so gut wie keine Fälle denkbar, in denen eine nicht autorisierte Lastbuchung auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruht.

Wie das bei den geknackten Kryptoschlüsseln aussehen würde, weiß ich natürlich trotzdem nicht. Ungewöhnlich wäre es sicher und bei entsprechend plötzlichen Entdeckungen in der Kryptoanalyse sicher auch unvorhersehbar, ob die Bank aus rechtlicher Sicht darauf „Einfluss“ hat kann ich nicht beurteilen. Ich bezweifle aber, dass Banken sich bei einem weitreichenden Missbrauch trauen würden, das Vertrauen der Kunden derart zu untergraben und den Abschnitt auszunutzen, und dass die Politik da nicht einschreiten würde – trotzdem steht das erst einmal so drin.

Ich bin mir sicher, dass die über 100 Seiten der Broschüre noch andere „nette“ Sachen enthalten, doch ein Anwalt, der die alle raussucht und erklärt dürfte mehr kosten als auf dem Konto drauf ist.

Auch eine Broschüre der Frankfurter Sparkasse 1822 habe ich in die Finger bekommen. 31 Seiten DIN A4, davon 5 mit Erklärung der Änderungen in fast normaler Schriftgröße 10. Der Rest scheint mir noch kleiner als bei der Postbank gedruckt zu sein. Es fehlen Hervorhebungen, was sich geändert hat, sodass der Kunde keine realistische Chance hat, sich darüber zu informieren. Die Regelung für EC-Karten ist wie bei der Postbank formuliert, allerdings findet sich wenige Absätze darunter die Aussage, dass die Sparkasse alle Schäden übernimmt, wenn der Kunde sich nicht grob fahrlässig verhalten hat, das glaubhaft darlegt und Anzeige bei der Polizei erstattet. Die Frankfurter Sparkasse verhält sich in diesem Punkt also fair, durch die fehlende Hervorhebung der Unterschiede sind die Änderungen aber äußerst intransparent.

Eine PDF-Version der Comdirect-Broschüre habe ich mir auch anschauen können. Inhaltlich sieht es ähnlich wie bei der Postbank aus: 150 EUR Selbstbeteiligung auch ohne Verschulden, die zusätzlichen Punkte finden sich so ähnlich auch wieder. Änderungen sind in der 35 A4-Seiten in kleiner Schriftgröße umfassenden Infobroschüre zwar durchgehend markiert, bestehen zum Teil aber schonmal aus fast komplett durchgestrichenen und neu eingefügten Seiten, sodass man die Unterschiede auch nicht wirklich sehen kann. Auf die 150 EUR Selbstbeteiligung wird in der Zusammenfassung hingewiesen, es wird aber nur die neue Regelung erwähnt. Die bisherige Regelung (wie bei der Postbank Übernahme der Schäden durch die Bank wenn der Karteninhaber die Sicherheitsregeln eingehalten hat) kann man im Volltext nachlesen, da Änderungen inkl. Streichungen gekennzeichnet sind.

Die Pressestelle der Postbank war für eine Stellungnahme nicht zu erreichen. (Update: Inzwischen schon.) Die Frankfurter Sparkasse habe ich nicht befragt, da mir keine konkreten kundenunfreundlichen Sachen aufgefallen sind (wie auch, wenn die Änderungen nicht markiert sind), und ich daher keine gezielten Fragen hätte stellen können. Die Pressestelle der Comdirect war sehr freundlich und ist gut auf meine Fragen eingegangen. Außer den genannten Punkten sollen keine weiteren Sachen, die für den Kunden nachteilig sein könnten, in den neuen AGB stehen. Weiterhin wurde darauf verwiesen, dass die Comdirect bei allen Missbrauchsfällen eine Einzelfallprüfung vornimmt und wenn der Kunde nichts falsch gemacht hat, ggf. den Schaden aus Kulanz trägt. Dabei handelt es sich natürlich um eine freiwillige Regelung, auf die man sich nicht verlassen kann. Allerdings dürfte es auch im Sinne der Bank sein, sich kulant zu zeigen, weil ansonsten nicht nur der Ruf der Bank, sondern auch der des bargeldlosen Zahlens leidet und mehr Menschen auf Bargeld ausweichen. Ergänzung: Bei „leichter“/“normaler“ Fahrlässigkeit gilt die Begrenzung auf 150 EUR auch. Ob das eine Verbesserung ist, bezweifle ich, da ich denke dass die bisher für eine Haftung des Kunden nötige Missachtung der Sicherheitsregeln eh unter „grob fahrlässig“ erfasst wäre.

Die Missbrauchsmöglichkeiten einer Karte sind mir nicht ganz klar. Auf der einen Seite kann natürlich ein Räuber die Karte an sich reißen und mit vorgehaltenem Messer die Herausgabe der PIN verlangen. Dann wäre man auf die Kulanz der Bank angewiesen. Andererseits kann man aber mit einer gestohlenen Karte auch per Unterschrift (ohne PIN) zahlen. Dann handelt es sich um eine Lastschrift, welche man innerhalb von 6 Wochen widerrufen kann. Laut Pressestelle der Comdirect bleibt man also bei einem Kartenmissbrauch ohne PIN nicht auf dem Schaden sitzen, das Pech hätte dann der Händler, der die gefälschte Unterschrift akzeptiert hat. Ob das so stimmt, kann ich nicht beurteilen, ich gehe aber davon aus. UPDATE: Bestätigt von der Postbank-Pressestelle.

Ergänzung: In der Vergangenheit sind einige Fälle bekannt geworden, die gezeigt haben, dass das damalige Sicherheitskonzept der Banken eine Einladung zum PIN-losen Missbrauch war. Beim derzeitigen System sind mir sollte Missstände nicht bekannt, insbesondere werden die PINs heutzutage nicht mehr mies verschlüsselt auf dem Magnetstreifen abgelegt.

Den richtigen Hammer kommt aber zum Schluss: Alle drei Geldinstitute, Postbank, Frankfurter Sparkasse und Comdirect, haben eine vergleichbare Haftungsklausel bis 150 EUR auch beim Onlinebanking. Fast wortgleich steht in den AGB:

(1) Beruhen nicht autorisierte Zahlungsvorgänge vor der Sperranzeige auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhandengekommenen Authentifizierungsinstruments, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, ohne dass es darauf ankommt, ob den Teilnehmer an dem Verlust, Diebstahl oder sonstigen Abhandenkommen des Authentifizierungsinstruments ein Verschulden trifft.

(2) Kommt es vor der Sperranzeige zu nicht autorisierten Zahlungsvorgängen aufgrund einer missbräuchlichen Verwendung eines Authentifizierungsinstruments, ohne dass dieses verlorengegangen, gestohlen oder sonst abhandengekommen ist, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, wenn der Teilnehmer seine Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale schuldhaft verletzt hat.

Bemerkt habe ich das erst heute per Zufall, als ich im AGB-PDF nach „150“ suchte um die Stelle zur Kartenhaftung wiederzufinden. Die Pressestellen sind heute natürlich nicht besetzt. Probleme sehe ich aus mehreren Gründen: Die PIN und die TAN-Listen werden per Post verschickt. Auch wenn die Briefe meist mehrere Tage getrennt voneinander verschickt werden, kann es passieren, dass diese gestohlen werden. Dafür würde nach dem Wortlaut der Regelungen der Kunde haften. Man müsste im Schadensfall auf die Kulanz der Banken (die sich aber gerne darauf berufen, dass sowas nicht passieren kann, da die Briefe ja separat verschickt werden) oder auf einen Richter hoffen, der die Regelung für unverhältnismäßig erklärt. Beides ist ein eigentlich nicht akzeptables Risiko. UPDATE: Laut Auskunft der Postbank-Pressestelle (per digital signierter Mail) haftet in diesem Fall dann doch die Bank nach § 675m (4) BGB, so wie es sein sollte. Aus den AGB herauslesen ohne Kenntnis des Gesetzestextes kann das der Kunde aber nicht. Der Absatz (2) zeigt, dass ein Unterschied gemacht wird zwischen einem gestohlenen Authentifizierungsmerkmal und einem kopierten. Bei Angriffen mittels Trojaner dürfte der erste Absatz somit nicht anzuwenden sein. UPDATE: Bestätigt von der Postbank-Pressestelle. Vor solchen Angriffen kann sich ein Normalnutzer meines erachtens nicht schützen – der einzige Schutz ist, dass die Bank den Schaden trägt, wenn die Sorgfalt beachtet wurde (also PIN nicht aufgeschrieben, die nutzlose Antivirensoftware aktuell gehalten etc.)

Durch die neuen AGB kann man meiner Ansicht nach also beim Onlinebanking für Vorfälle haften, die man nicht vermeiden kann, z. B. in der Post gestohlene Briefe. Ergänzung: Auf eine Stellungnahme von Postbank und Sparkasse warte ich noch, die Comdirect verweist wieder auf Einzelfallprüfung und Kulanz. In den alten AGB habe ich keine eindeutige Regelung zur Haftung gefunden.

Fazit: Die Frankfurter Sparkasse 1822 ist wenigstens bei der Kartenzahlung fair. Sowohl Postbank als auch Comdirect nutzen meiner Meinung nach auf unfaire Weise sowohl das neue Gesetz voll aus als auch die tolle Gelegenheit, den Kunden unbemerkt ein paar nette neue Überraschungen in die AGB zu setzen. Keiner kann ernsthaft erwarten, dass ein Kunde einen solchen Wust an kleingedrucktem Text tatsächlich liest. Ich finde es daher auch schade, dass AGBs einer solchen Länge zulässig sind.

An dieser Stelle bleibt auch nur, unseren Politikern für diese tollen Regelungen zu danken. Denn nach Art. 61 Abs. 3 der EU-Richtlinie dürfen Mitgliedsstaaten durchaus diese Haftungsgrenze nach unten anpassen.

Wer noch weitere, bedeutende Fiesheiten kennt oder juristisch fundiertes und mit Quellen belegtes Wissen beitragen kann, ist herzlich dazu eingeladen, unten die Kommentarfunktion zu nutzen. Auch Hinweise auf Banken mit fairen AGB nehme ich entgegen, bitte aber mit Link auf eine online einsehbare Version der neuen AGB.

Sicherheitshalber der Hinweis: Ich bin kein Jurist, außerdem bin ich noch ein Mensch, und Menschen können sich irren. Ich werde Fehler natürlich korrigieren, wenn ich davon erfahre.

Bleistifte bei Wahlen

Auch ich habe mich bereits darüber gewundert bzw. aufgeregt: Warum werden bei Wahlen häufig Bleistifte statt (dokumentenechter) Kugelschreiber verwendet? Ist das nicht unsicher? Als Wahlhelfer wird man oft auch von entrüsteten Wählern darauf angesprochen – aber ist es wirklich ein Problem?

Die Antwort lautet nein. Laut § 50 der Bundeswahlverordnung ist sowieso nur ein „Schreibstift“ vorgesehen. Der Bundestag hat sich damit auch auseinandergesetzt. Die „Bleistifte“ in vielen Wahllokalen sind übrigens oft spezielle dokumentenechte Stifte (einfach mal darauf achten, steht drauf). Selbst wenn nicht, wäre es keine zusätzliche Gefahr für die Sicherheit der Wahl vor Manipulationen: Wenn die Wahlurne geöffnet wird, sind i.d.r. fünf Personen bis zum Ende der Auszählung anwesend und achten genau auf den Tisch mit den Stimmzetteln (zudem kann jeder der will zuschauen). Wenn da jetzt jemand sich einen Stapel Stimmzettel schnappt und anfängt mit einem Radiergummi und Stift zu hantieren, fällt es auf. Und fällt es noch deutlich mehr auf, als wenn jemand die Stimmzettel die er „korrigieren“ möchte verschwinden lässt und durch eine entsprechende Anzahl selbst ausgefüllter Stimmzettel ersetzt, oder Nichtwähler im Wählerverzeichnis abhakt und dann eine entsprechende Anzahl Stimmzettel einschmuggelt. Auch das ist natürlich in der Regel zum Glück nicht möglich, da auch das auffallen würde, doch es ist immer noch realistischer als Herumradieren auf Stimmzetteln. Zumal sich ein Bleistiftstrich selten wegradieren lässt, ohne (bei sehr genauem Hinsehen) erkennbare Spuren und somit einen Beweis für die Manipulation zu hinterlassen.

Daher: Ob Bleistift oder Kugelschreiber spielt überhaupt keine Rolle für die Sicherheit der Wahl, denn wenn jemand eine Manipulation versucht, wird das sicher nicht mit einem Radiergummi passieren. Ein weicher Bleistift hat außerdem den Vorteil, dass er weniger durchdrückt – mit einem Kugelschreiber gemachte Kreuze könnten auf der Außenseite des Wahlzettels sichtbar sein. Wer trotzdem mit einem Kugelschreiber wählen will, wird dies in der Regel problemlos tun können, wenn er ihn selbst mitbringt.

Und wer jetzt der Meinung ist, Wahlen manipulieren zu können, vergisst, dass unerwartete, große Unterschiede in einzelnen Wahllokalen auffallen, aber gleichzeitig bei größeren Wahlen das Gesamtergebnis nicht allzu stark verfälschen können. Wenn jemand genug Stimmzettel fälschen will, um einen nennenswerten Unterschied zu erreichen, hat sehr gute Chancen, erwischt zu werden – zumal die meisten Wahlhelfer sich freiwillig für die Demokratie engagieren und somit eine starke Abneigung gegen Wahlfälschungsversuche haben und gut aufpassen. Neben den strafrechtlichen Konsequenzen (bis zu 5 Jahre Haft) sind übrigens auch die vom erwischten Täter zu tragenden Kosten einer Wiederholung der Wahl nicht sehr angenehm. Das Papierwahlsystem mag aufwändig und nicht völlig unangreifbar sein, aber im Großen und Ganzen ist die Sicherheit sehr gut.

Über die (Un-)Sicherheit von SSL und HTTPS

Normalerweise denkt man, eine Seite mit https:// in der Adresse sei sicher, die Daten seien verschlüsselt und man kommuniziere definitiv mit dem richtigen Gesprächspartner. Das zugrunde liegende Protokoll nennt man SSL bzw. TLS (ich werde hier nur noch von SSL reden, TLS ist der Name der neusten Version), wenn also in SSL ein Fehler gefunden wird, ist davon auch HTTPS betroffen.  Das Protokoll an sich ist größtenteils sicher. Die Angriffe beziehen sich auf meist die dahinterliegenden Strukturen, die teilweise unsicher sind. Ich rede dennoch etwas unkorrekt von Angriffen auf HTTPS bzw. SSL, weil die Angriffe auf die Strukturen im Hintergrund natürlich in der Praxis per HTTPS/SSP gesicherte Verbindungen unsicher machen. Hier möchte ich einen sowohl für Anfänger als auch für Fortgeschrittene interessanten Überblick geben, was von der Sicherheit zu halten ist, was noch sicher ist  und was unsicher. Ich gehe im Folgenden von Firefox aus, wer noch den Internet Explorer nutzt, ist selber schuld und tut mir leid.

Ich habe auch allgemeine Tipps für Anfänger eingebaut. Je nach Kentnissstand werden einige Abschnitte unverständlich kompliziert und einige andere langweilig sein. Auch Profis können interessante Probleme finden, aber die Seite richtet sich eher an Nutzer, denen SSL ein Begriff ist.

Der Artikel ist doch sehr lang geworden. Daher erstmal nur, was hier behandelt wird:

• Einleitung
• Funktionsweise von SSL und HTTPS (sehr grob)
• (Nicht) mögliche Angriffe
• Aufbau von Adressen
• Sicherheitsmerkmale im Browser
• EV-Zertifikate
• HTTPS ist kein Gütesiegel
• Die einzelnen Angriffe
  • 1. Debian OpenSSL weak keys
  • 2. Comodo stellt ungeprüft Zertifikate aus
  • 3. StartSSL stellt schlechte geprüft Zertifikate aus
  • 4. MD5-Kollisionsangriffe
  • 5. OpenSSL-Lücke
  • 6. „optimierte“ Umleitung, wenn zunächst http benutzt wird (sslstrip, IDN-Spoofing)
  • 7. Nullbytes im Hostname des Zertifikats
• Fazit

Vorab: Sicherheitstipps für Einsteiger in Kürze

• System sicher halten – In dem Moment, wo der Rechner von einem Angreifer z. B. mit einem Trojaner bearbeitet wurde, kann man die ganzen Sicherheitsmaßnahmen vergessen. Nur wenn der Rechner und die Software vertrauenswürdig sind, kann man sich auf die Ausgaben verlassen. Dafür sollte man:
  • Sichere Software verwenden – Software, die oft Sicherheitslücken hat, meiden. Je stärker die Software fremdem Inhalt ausgesetzt ist, desto sicherer muss sie sein. Ein unsicheres (Offline-)Spiel ist kaum ein Problem. Ein unsicherer Browser umso mehr.  Internet Explorer meiden, z. B. Firefox nutzen.
  • Software aktuell halten – Software hat immer Sicherheitslücken. Mit Updates werden bekannte Lücken geschlossen. Spielt man ein Update nicht ein, obwohl es eine bekannte Lücke gibt, wird diese meist bald ausgenutzt. Auch hier gilt: Vor allem Betriebssystem und Browser sowie die Browser-Plugins (Acrobat Reader, Flash, diverse Mediaplayer) müssen immer topaktuell sein.
  • Virenscanner und Firewalls sind ein zusätzliches Sicherheitsnetz. Updates sind viel wichtiger.
  • Nicht vertrauenswürdige Software nicht starten. Dazu zählen gerne auf dubiosen Seiten angebotene falsche Updates sowie illegale Kopierschutz-Knackprogramme.
• Wichtige Seiten direkt aufrufen – am Besten per Lesezeichen. Wer seine Bankseite immer per Google sucht, hat ein Problem, wenn ein Phisher es mal nach oben schafft.
• Beim Aufrufen direkt https:// benutzen – sonst kann ein Angreifer problemlos umleiten, siehe unten.
• Warnungen beachten – wenn der Browser sagt, dass irgendwas mit der Bankseite nicht in Ordnung ist, dürfte es stimmen, auch wenn bei irgendwelchen Hobbyseiten die Warnung oft „grundlos“ kommt.
• Für Seiten die man nicht direkt aufruft muss man leider https kennen, um sicher zu sein. Das ist für Anfänger nicht einfach.

Weiterlesen …