Browser-Sicherheit: G DATA-Lösungen greifen nicht in den HTTPS-Verkehr ein

Das HTTPS-Protokoll sorgt heutzutage für eine verschlüsselte Verbindung zu Webservern, die wir im alltäglichen Leben nutzen: Ob beim Online-Shopping, Banking, auf Versicherungs-Seiten oder auch auf immer mehr anderen Seiten: Dank HTTPS ist die Verbindung nicht nur sicher, sondern kann – anders als beim unverschlüsselten HTTP-Protokoll – auch nicht im Klartext mitgelesen werden. Eine Studie warf letztens die Frage auf, ob Security-Hersteller, darunter auch G DATA, mit ihren Lösungen das HTTPS-Protokoll aufbrechen würden. Nun folgte das Dementi mit einer entsprechenden Klarstellung.

Laut der genannten Studie (“The Security Impact of HTTPS Interception”) greifen unter anderem die Lösungen von G DATA in die Übertragung von verschlüsseltem Browser-Datenverkehr ein, indem sie HTTPS aufbrechen. Dadurch werde die grundsätzliche Sicherheit der Verbindung beeinträchtigt. Das ist erst einmal eine Hausnummer und für einen Hersteller von Sicherheits-Software nicht unbedingt positive Werbung

In der vielfach zitierten Studie wird die Behauptung aufgestellt, dass zahlreiche Sicherheitshersteller verschlüsselten Datenverkehr “aufbrechen” und nach der Analyse mit einer schwächeren Verschlüsselung weiterleiten. Diese mache die gesicherten Verbindungen anfällig für Angriffe auf Schwachstellen in der Verschlüsselungstechnologie wie “Poodle”. Viele der Kunden des Bochumer Unternehmens waren deshalb – verständlicherweise – verunsichert und haben hier um Stellungnahme gebeten. G DATA nahm eigenen Informationen zufolge direkt Kontakt mit den Autoren der Studie auf und bat wiederum um die Übersendung der Daten, auf denen die ursprüngliche Aussage basierte.

Das Resultat: Nach Prüfung dieser Daten steht nun fest, dass den Forschern an dieser Stelle offenbar ein Fehler unterlaufen ist. Keine der G DATA-Lösungen greift in den HTTPS-Verkehr ein. Die Prüfungen an sich beschränken sich ausschließlich auf die unverschlüsselten Verbindungsdaten wie IP-Adressen und Domain-Namen. Diese werden wiederum gegen eine Blacklist geprüft, die bekannte bösartige IPs und Domänen enthält. Generell ist zu erwähnen, dass Sicherheitshersteller sich in einem Dilemma befinden, wenn es um die Überprüfung verschlüsselter Inhalte geht: Idealerweise fängt man schädliche Inhalte ab, bevor sie am Zielrechner ankommen – hier kommt dann das mittlerweile bekannte Szenario der Gateway-Protection zum Tragen. Sind die Daten jedoch beispielsweise mit einer End-to-End-Verschlüsselung gesichert, kann man sie nicht ohne Weiteres prüfen und müsste in der Tat das HTTPS-Protokoll auf irgendeinem Wege wirklich aufbrechen. Aus genau diesem Grund hat sich G DATA daher nach eigenen Angaben bewusst dafür entschieden, den HTTPS-Verkehr unangetastet zu lassen.

Da E-Mails nach wie vor einer der Hauptverbreitungswege für Schadsoftware sind, beschränken sich speziell die G DATA-Lösungen auf die Prüfung des E-Mail-Verkehr – allerdings auch nur in den Heimanwenderlösungen des Bochumer Unternehmens. Dort ist diese Prüfung jedoch auf Wunsch auch deaktivierbar, wie das Bildschirmfoto oben zeigt. In diesem Falle wird eine eventuelle Schaddatei erst dann gefunden, wenn sie auf dem System versucht, aktiv zu werden. Der gesicherte Mailverkehr bleibt aber auch hier nach wie vor unangetastet – auch andere Lösungen agieren so.

Derweil haben Zakir Durumeric und Nick Sullivan, zwei der Autoren der Studie, eine korrigierte Version der Publikation versprochen und ihr Bedauern über den Fehler ausgedrückt. Hervorzuheben ist laut G DATA, dass die Kommunikation mit dem Forscherteam durchweg positiv und sehr konstruktiv war. Man kann also nur hoffen, dass hier gemeinsam und schnell ein Missverständnis aufgeklärt werden konnte, welches nicht wenig Zündstoff geborgen und in wenig Zeit für recht viel Unruhe gesorgt hat.

 

 

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*