Googles Sicherheitsforscher haben eine neue Schwachstelle in SSLv3 gefunden – eine Technik, die auf Millionen Internet seiten zur Verschlüsselung von E-Mails und Passwörtern eingesetzt wird. Die auf den Namen "Poodle" getaufte Sicherheitslücke sei zwar weniger gefährlich als die zuvor entdeckten Lücken Heartbleed und Shellshock . Dennoch sollten Nutzer ihre Browser absichern, raten Microsoft , Google und Mozilla .
So deaktivieren Sie SSL 3.0 im IE, Firefox und Chrome
Laut Google können sich Angreifer über "Poodle" in gesicherte Verbindungen zwischen einer Internetseite und ihrem Besucher einschleichen und eigentlich verschlüsselte Daten abfangen und lesen. Dabei stehlen die Hacker im Browser gespeicherte Cookies . Das sind Dateien, die wichtige Nutzerinformationen für E-Mail-Dienste, soziale Netzwerke , Online-Shopping und -Banking speichern. Die Poodle-Attacke verspricht daher eine vielversprechende Ausbeute an Passwörtern, Kredit- und Kontodaten.
Für den Angriff muss sich der Hacker allerdings in demselben Netzwerk wie sein Opfer befinden – etwa dem öffentlichen WLAN eines Cafés. Alternativ können Hacker Internetnutzer auch mit selbstaufgebauten öffentlichen WLANs in die Falle locken.
Poodle macht SSLv3 unsicher
Der Datendiebstahl erfolgt in diesem Fall über das 18 Jahre alte HTTPS-Protokoll "Secure Sockets Layer version 3.0" (SSLv3 oder SSL 3.0). Die Technik verschlüsselt die Datenübertragung zwischen Internetseiten und den Geräten ihrer Besucher, gilt aber bereits seit Langem als überholt und wurde von dem sichereren Protokoll TLS abgelöst.
Dennoch akzeptieren die großen Browser Internet Explorer , Mozilla Firefox und Google Chrome neben TLS weiterhin SSLv3. Zwar stellt Firefox nach Angaben seines Herstellers Mozilla etwa nur noch 0,3 Prozent HTTPS-Verbindungen über SSLv3 her, bei der Größe des Internets bedeute dies aber Millionen unsichere Internetverbindungen pro Tag. Zudem könne ein Angreifer den Browser dazu zwingen, auf das unsichere SSLv3 zu wechseln, erklärt Google in seinem Forschungsbericht.
So sichern Sie Ihren Browser ab
Anscheinend wurde die Sicherheitslücke noch nicht ausgenutzt, sodass Internetnutzern ein vorzeitiger Passwort-Wechsel erspart bleibt. Google und Mozilla kündigten bereits an, die Unterstützung für SSLv3 einzustellen. Im Fall von Firefox soll dies mit dem für November angekündigten Firefox 34 geschehen.
Jedoch rät Microsoft dazu, die Unterstützung von SSL 3.0 für den Internet Explorer zu deaktivieren. Und auch Mozilla stellt eine Firefox-Erweiterung bereit, mit der sich das unsichere Protokoll recht einfach deaktivieren lässt. In unserer Foto-Show erklären wir, wie Sie die SSL-Einstellungen in den verschiedenen Browsern anpassen können.
Wie gut kennen Sie sich mit Computern aus?
Bei Smartphones kommt es auf die verwendeten Apps und die Version des Betriebssystems an, ob sich die SSL-Einstellungen manuell anpassen lassen. Daher liegt es vor allem an den Betreibern der verschiedenen Apps und Webdienste, die Unterstützung für SSLv3 komplett einzustellen.
Weitere spannende Digital-Themen finden Sie hier .