2376175

SSL-/TLS-Entschlüsselung erkennen und umgehen

19.09.2018 | 13:30 Uhr |

Verschlüsselte Websites sind heute Standard im Internet. Sie erkennen die Verschlüsselung an einem Vorhängeschloss zu Beginn der Adresszeile im Browser. So ist www.pcwelt.de verschlüsselt, www.amazon.de und Ihre Onlinebanking-Website sowieso. Wir erklären Ihnen, wie Sie SSL-/TLS-Entschlüsselung erkennen und umgehen.

Was nur wenige Anwender wissen: In Unternehmensnetzen können die Gateway-Server diese verschlüsselten Verbindungen aufbrechen und den Inhalt komplett mitlesen. In der Firewall für Unternehmen findet sich diese Möglichkeit unter Menüpunkten wie SSL-Inspection, HTTPS-Inspection, SSL-Interception, SSL-Decryption. Zwar wurde der SSL-Standard (Secure Sockets Layer) mit Version 3.0 in TLS (Transport Layer Security) umbenannt, weil sich das Verschlüsselungsprozedere entscheidend geändert hat, doch sprechen selbst Fachleute heute immer noch von SSL-Verbindungen. Die Funktionen in der Firewall dienen also dazu, die SSL-/TLS-Verbindung von den PCs der Mitarbeiter zum Webserver im Internet in der Firewall aufzubrechen. Es handelt sich damit im Grunde um eine klassische Man-in-the-Middle-Attacke.

Die Frage, ob das in Deutschland legal ist, lässt sich nicht einfach beantworten. Die Website www.datenschutzbeauftragter-info.de hat sich in einem etwas älterem Beitrag an der Antwort versucht. Kurzgefasst kann man sagen: Es gibt hohe Hürden, die ein Unternehmen überwinden muss, um die SSL-/TLS-Verschlüsselung der Angestellten zu knacken, aber sie lassen sich durchaus meistern. Seit April 2017 ist es zudem für viele Firmen erlaubt, Deep Packet Inspection (DPI) durchzuführen. Diese Methode entschlüsselt zwar nicht die transportierten Daten einer SSL-/TLS-Verschlüsselung, sehr wohl aber sogenannte Steuerdaten. Darunter wird dann so ziemlich alles zusammengefasst, was nicht Dateninhalt ist.

Das Zertifikat einer Website weist diese als echt aus und ermöglicht es dem Browser, die SSL/TLS-Verschlüsselung zu starten (hier das Zertifikat von www.pcwelt.de).
Vergrößern Das Zertifikat einer Website weist diese als echt aus und ermöglicht es dem Browser, die SSL/TLS-Verschlüsselung zu starten (hier das Zertifikat von www.pcwelt.de).

SSL-/TLS-Entschlüsselung erkennen: Wenn Sie befürchten, Ihr Unternehmen nutzt die SSL-/TLS-Entschlüsselung, stellt sich die Frage, wie Sie das herausfinden. In den meisten Fällen sollte das relativ einfach gelingen, wenn Sie sich das Zertifikat der besuchten Website ansehen. Denn zur SSL-/TLS-Verschlüsselung einer Website gehört im ersten Schritt immer der Austausch eines Zertifikats. Dieses schickt Ihnen die Website in Ihren Browser. Dieser prüft die Echtheit anhand von Stammzertifikaten aus seinem Speicher (Firefox) oder dem Zertifikatspeicher von Windows (Chrome, IE/Edge). Passt das Zertifikat zur besuchten Website, beginnt die Verschlüsselung der Verbindung. Damit sich die Firewall Ihres Unternehmens in Ihre Verbindung hacken kann, also den Man-in-the-Middle-Angriff zur SSL-/TLS-Entschlüsselung durchführen kann, muss sie Ihrem Browser ein eigenes Zertifikat unterschieben. Ihr Browser wird das untergeschobene Zertifikat anerkennen, denn er wurde vom Administrator Ihrer Firma entsprechend konfiguriert. Das heißt, er hat ein neues Stammzertifikat erhalten, das wiederum das Zertifikat der Firewall abnickt. Sie können das neue Zertifikat aber sehr wohl erkennen. Rufen Sie dafür ein und dieselbe Website einmal von zu Hause aus auf und einmal von der Arbeit. Vergleichen Sie die Zertifikate: Sie müssen identisch sein, wenn keine SSL-/TLS-Entschlüsselung durch die Firewall vorliegt.

So sehen Sie das Zertifikat: Rufen Sie die Website zu Hause im Browser auf. Bei Google Chrome klicken Sie dann auf das Schlosssymbol am Anfang der Adresszeile und wählen „Zertifikat (gültig) –› Details“; bei Firefox wählen Sie nach dem Klick auf das Schlosssymbol den Pfeil hinter „Sichere Verbindung“ und dann „Weitere Informationen –› Zertifikat anzeigen“. Notieren Sie sich die „Seriennummer“ oder drucken Sie sich die Infos des Fensters aus, und vergleichen Sie sie dann mit den Angaben in der Arbeit. Geht das nicht, dann rufen Sie in der Arbeit zwei verschiedene, verschlüsselte Websites auf, etwa pcwelt.de und ebay.de, und vergleichen Sie die Seriennummern der beiden Zertifikate. Sind sie identisch, entschlüsselt die Firmen-Firewall wahrscheinlich den Datenverkehr.

Übrigens: Wenn Ihre Firma die SSL-/TLS-Überwachung nicht in der Firewall durchführt, sondern über eine Spionagesoftware auf dem Rechner, dann haben Sie meist keine Chance, diese zu entdecken. Denn dann haben Sie mit großer Wahrscheinlichkeit keine Adminrechte auf dem PC und können die Spionagesoftware nicht enttarnen. Doch solche Spionagetools sind in Deutschland nur in wenigen Fällen auf den PCs der Mitarbeiter erlaubt.

Entschlüsselung aushebeln: Aktuelle Firewalls können viele SSL-/TLS-Verbindungen knacken, aber längst nicht alle. Das Problem ist: Als einfacher Nutzer im Firmennetzwerk weiß man nicht, welche Protokolle die Firewall aufbrechen kann und welche nicht. Wahrscheinlich genügt es bereits, einen privaten VPN-Client einzuschalten. Auf dem Firmenrechner werden Sie vermutlich keinen installieren dürfen, aber auf Ihrem privaten Smartphone natürlich schon. Die Chance ist hoch, dass die Firewall hier passen muss. Noch einfacher ist es allerdings, wenn Sie zum anonymen Surfen das Smartphone nutzen und dabei das Firmen-WLAN ausschalten und Ihre eigene Mobilfunkverbindung einschalten.

Tipp: Verschlüsselung: Techniken und Grundlagenwissen

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2376175