Die Internet-Anwendung Twitter unterstützt seit Mitte März die Verschlüsselung der Kommunikation mit dem Protokoll HTTPS. „Nun sind wir auch auf dieser Plattform sicher“, möchten nun nicht Wenige denken. Dass dieses Plus an Sicherheit allerdings sehr trügerisch ist, möchte ich im Folgenden ausführen. Lassen Sie mich zunächst erläutern, was HTTPS überhaupt ist.

HTTPS ist im Prinzip sicherer HTTP-Verkehr, unter Verwendung eines Secure Sockets Layer (SSL). Es verschlüsselt gewissermaßen die Kommunikation zwischen zwei Punkten, dem Browser und dem Server.

Tatsächlich profitieren Sie zwar von SSL oder HTTPS, aber die gängige Meinung, dass damit alles sicher sei ist nicht korrekt. Lassen Sie uns in dieser Sache klar sein: Sie sorgen nur für sehr wenig Sicherheit!

Auf der einen Seite wird durch die verschlüsselte Kommunikation zwar alles, was Sie an eine Seite senden, wie persönliche Informationen oder Passwörter, während der Übertragung vor Spionage gesichert, auf der anderen Seite verhindert es aber keine Angriffe gegen die Applikation als solche.

Um die ganze Thematik nicht an Twitter festzumachen, lassen Sie es mich allgemein formulieren: Wenn eine Applikation anfällig für einen Application-Layer-Angriff ist, wird die Verwendung von HTTPS nur den Effekt haben, das dieser Angriff zwischen dem Angreifer und Server verschlüsselt wird. Auf diese Weise wird der Angriff so vor traditionellen Erkennungsmechanismen versteckt.

Täglich höre ich davon, was HTTPS leistet und was viele Leute denken das es leistet und es verwundert mich doch sehr, wie viel Vertrauen SSL noch entgegengebracht wird. Die meisten IT-Experten verfolgen einen eher defensiven Ansatz, nämlich den, dass es keine „Wunderwaffe“ gibt. Der normale User, der SSL für ein Allerheilmittel hält, glaubt das SSL ihn vor allen Internet Gefahren beschützt, während dem Online-Verbrechen Tür und Tor offen steht. Auf diesen Missstand möchte ich hinweisen.

Was meine Sicht der Dinge betrifft, kommt HTTPS weiterhin einer Schlüsselrolle innerhalb der Sicherheitsarchitektur zu, diese bildet jedoch nur die Spitze des Eisbergs. Wenn Sie ausschließlich HTTPS verwenden, betten Sie den Angriff im Grunde innerhalb Ihrer verschlüsselten Kommunikation ein. Sie müssen das Problem großflächiger angehen und Ihre gesamten Applikationen schützen, nicht nur Ihre Kommunikation.

Es ist also die gesamte IT-Infrastruktur, die darüber entscheidet ob Sie sich sicher fühlen können oder nicht und keine punktuellen Maßnahmen.