{"id":3159,"date":"2025-05-05T11:50:56","date_gmt":"2025-05-05T11:50:56","guid":{"rendered":"https:\/\/decareto-test.qivoro.han-solo.net\/?p=3159"},"modified":"2025-05-05T11:50:57","modified_gmt":"2025-05-05T11:50:57","slug":"wie-sie-die-transportverschluesselung-einer-website-ueberpruefen","status":"publish","type":"post","link":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wie-sie-die-transportverschluesselung-einer-website-ueberpruefen\/","title":{"rendered":"Wie Sie die Transportverschl\u00fcsselung einer Website \u00fcberpr\u00fcfen"},"content":{"rendered":"\n

Die M\u00f6glichkeiten, von Sicherheitsl\u00fccken im eigenen Website-Auftritt betroffen zu sein, sind vielf\u00e4ltig. Potentielle Angriffsziele reichen von der Netzwerk-Infrastruktur \u00fcber Betriebssystem und Systemsoftware (wie Webserver und Datenbank) bis zur Webanwendung in Back- und Frontend.<\/p>\n\n\n\n

F\u00fcr Datenschutzverantwortliche sind jedoch die Mittel, eine Website im Rahmen eines Audits auf Sicherheitsl\u00fccken zu untersuchen, begrenzt- sofern man nicht im Zweitberuf Experte f\u00fcr Cyber-Sicherheit ist und wei\u00df, wie man einen Penetration-Test durchf\u00fchrt. <\/p>\n\n\n\n

Einen wichtigen Aspekt der Website-Sicherheit beschreiben wir in diesem Beitrag, und zwar die sogenannte Transportverschl\u00fcsselung, die besonders im Zusammenhang mit Web-Formularen relevant ist. Diese ist \u00fcberraschend h\u00e4ufig nur l\u00fcckenhaft umgesetzt, obwohl derartige Schwachstellen leicht zu identifizieren sind. Hier erfahren Sie, wie man die Transportverschl\u00fcsselung \u00fcberpr\u00fcfen kann.<\/p>\n\n\n\n

Was ist Transportverschl\u00fcsselung?<\/h2>\n\n\n\n

Wenn man Transportverschl\u00fcsselung meint, sagt man umgangssprachlich immer noch sehr h\u00e4ufig „SSL“, das Akronym f\u00fcr Secure Socket Layer. Gemeint ist damit, dass der Datenverkehr zwischen Browser und Webserver so verschl\u00fcsselt wird, dass kein Dritter den Datenverkehr abh\u00f6ren kann.<\/p>\n\n\n\n

Diese Bedenken sind berechtigt – das Internet ist durch seine dezentrale Architektur so ausgelegt, dass Datenpakete oft eine Vielzahl von Servern passieren, bevor sie Ihr Ziel erreichen. Dies machen sich Geheimdienste zunutze, die die Betreiber der gro\u00dfen Internetknoten verpflichten, ihnen Vollzugriff zu gew\u00e4hren.<\/p>\n\n\n\n

Das erste Protokoll zur Verschl\u00fcsselung von Daten im Web war das besagte SSL, es wurde 1994 von Netscape entwickelt. Auf diese Version 1.0 folgten SSL 2.0 und SSL 3.0, anschlie\u00dfend wurde das Akronym TLS (Transport Layer Security) f\u00fcr verbesserte Verfahren verwendet, mit den Versionen TLS 1.0 bis TLS 1.3. Es sollten mittlerweile nur noch die Verfahren TLS 1.2 und 1.3 eingesetzt werden, weil alle anderen als veraltet und nicht mehr sicher genug gelten.<\/p>\n\n\n\n

Die Funktionsweise hat sich seit 1994 allerdings nicht grunds\u00e4tzlich ver\u00e4ndert. Sie sieht sehr stark vereinfacht wie folgt aus:<\/p>\n\n\n\n

    \n
  1. Der Webserver stellt dem Browser ein digitales Zertifikat zur Verf\u00fcgung. Dieses wurde von einer unabh\u00e4ngigen Stelle ausgestellt und beweist die Identit\u00e4t des Servers – damit wird verhindert, dass ein Angreifer sich sozusagen vor den Webserver stellt, sich f\u00fcr ihn ausgibt, und die Kommunikation abf\u00e4ngt.<\/li>\n\n\n\n
  2. Das Zertifikat enth\u00e4lt zus\u00e4tzlich einen sogenannten \u00d6ffentlichen Schl\u00fcssel f\u00fcr ein asymmetrisches Verschl\u00fcsselungsverfahren. Das bedeutet: der Browser kann mit dem \u00f6ffentlich bekannten Schl\u00fcssel eine Nachricht verschl\u00fcsseln, die aber nur der Webserver entschl\u00fcsseln kann.<\/li>\n\n\n\n
  3. Browser und Server verst\u00e4ndigen sich au\u00dferdem dar\u00fcber, welche Verfahren im Detail f\u00fcr die Verschl\u00fcsselung verwendet werden.<\/li>\n<\/ol>\n\n\n\n

    Schwachstellen rund um Transportverschl\u00fcsselung<\/h2>\n\n\n\n

    F\u00fcr eine sichere Transportverschl\u00fcsselung muss ein Websitebetreiber nicht nur ein vertrauensw\u00fcrdiges TLS-Zertifikat bereitstellen, zus\u00e4tzlich muss der Webserver korrekt konfiguriert werden – im Business-Kontext typischerweise die Aufgabe eines Providers oder IT-Dienstleisters. Die folgenden Fehler sollten vermieden werden, auch weil sie leicht durch Dritte erkennbar sind:<\/p>\n\n\n\n

    Unverschl\u00fcsselter Server<\/h3>\n\n\n\n

    Fast schon zu banal f\u00fcr diese Auflistung, dennoch im privaten Umfeld oder bei Vereinen immer noch anzutreffen. Da Zertifikate mittlerweile kostenfrei erh\u00e4ltlich sind (etwa bei Let’s Encrypt), und die meisten Web-Provider sie \u00fcber eine Admin-Oberfl\u00e4che auf Knopfdruck verf\u00fcgbar machen, sollte es eigentlich auch f\u00fcr diese Zielgruppe Usus sein, sie einzusetzen.<\/p>\n\n\n\n

    Ung\u00fcltiges Zertifikat<\/h3>\n\n\n\n

    Mit technischen Basiskenntnissen ist es leicht m\u00f6glich, ein Webserver-Zertifikat selber zu erstellen. Da dieses aber nicht von einer unabh\u00e4ngigen Stelle ausgestellt wurde, reicht es nicht aus, um die eigene Identit\u00e4t nachzuweisen. Browser zeigen in diesem Fall eine so deutliche Warnung an, dass die Website unbenutzbar wirkt.<\/p>\n\n\n\n

    Ein Zertifikat ist auch ung\u00fcltig, wenn es auf einem falschen Webserver als vorgesehen installiert wird. Die Warnmeldung im Browser sieht dann vergleichbar aus.<\/p>\n\n\n\n

    Fehlende Zertifikatskette<\/h3>\n\n\n\n

    Damit der Nachweis der Identit\u00e4t gelingt, sollten auf dem Server neben dem eigenen Webserver-Zertifikat noch weitere Zertifikate installiert sein, und zwar die sogenannten „Intermediate Certificates“. Diese identifizieren das Unternehmen, bei dem man das Zertifikat gekauft hat. Moderne Browser k\u00f6nnen diese Zertifikate nachladen, \u00e4ltere zeigen einen Fehler an, wenn sie nicht vorhanden sind.<\/p>\n\n\n\n

    Abgelaufenes Zertifikat<\/h3>\n\n\n\n

    Da Zertifikate immer mit einem Ablaufdatum ausgestellt werden (sie sind typischerweise 1 bis 3 Jahre g\u00fcltig), werden sie zu einem bestimmten Zeitpunkt ung\u00fcltig und m\u00fcssen erneuert werden. Auch in diesem Fall zeigen Web-Browser eine sehr extreme Warnmeldung an.<\/p>\n\n\n\n

    Veraltete Protokolle<\/h3>\n\n\n\n

    Die eingesetzten Details der Verschl\u00fcsselung werden wie oben beschrieben zwischen Browser und Server ausgehandelt. Ein Angreifer k\u00f6nnte dem Server ein sehr altes und leicht zu \u00fcberwindendes Verfahren vorschlagen. Aus diesem Grund sollten Server so konfiguriert sein, dass sie nur moderne, sichere Verfahren unterst\u00fctzen.<\/p>\n\n\n\n

    Anf\u00e4lligkeit f\u00fcr Angriffe<\/h3>\n\n\n\n

    Die bekannten Angriffsm\u00f6glichkeiten gegen TLS h\u00e4ngen meist mit veralteten Protokollen zusammen (so ist bspw. POODLE eine Schwachstelle von SSL 3.0). Eine Ausnahme ist u.A. die Heartbleed-Schwachstelle, die seit 2014 ein gro\u00dfes Presseecho hat. Sie basiert auf einem Fehler in der Softwarebibliothek OpenSSL,<\/p>\n\n\n\n

    Keine erzwungene Verschl\u00fcsselung<\/h3>\n\n\n\n

    Die beste Verschl\u00fcsselung n\u00fctzt nichts, wenn sie nicht eingesetzt wird. Deshalb sollten Websites alle Aufrufe, die per http:\/\/ erfolgen, zu https:\/\/ umleiten, um so eine Verschl\u00fcsselung zu erzwingen.<\/p>\n\n\n\n

    Die Server-Verschl\u00fcsselung \u00fcberpr\u00fcfen<\/h2>\n\n\n\n

    Die oben genannten Schwachstellen sind teilweise sehr leicht zu pr\u00fcfen, weil bei einigen davon jeder Browser eine deutlich sichtbare Warnmeldung anzeigt. Das gilt aber nicht f\u00fcr alle – das Akzeptieren alter Protokolle ist bspw. nicht ohne weiteres erkennbar. Es gibt zum Gl\u00fcck ein sehr m\u00e4chtiges und gleichzeitig kostenfreies Online-Tool, das alle oben genannten Schwachstellen testet – die Website SSLLabs des Unternehmens Qualys<\/a>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Geben Sie einfach im Eingabefeld den Servernamen ein, den Sie pr\u00fcfen wollen, und warten Sie einige Minuten. Das Ergebnis ist dann eine sehr detaillierte \u00dcberpr\u00fcfung einer Vielzahl von Kriterien. Die fachliche Interpretation der Meldungen kann schwierig sein, der f\u00fcr Sie relevanteste Teil ist deshalb die Zusammenfassung am Kopf des Reports – hier am Beispiel von https:\/\/decareto.com:<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Es ist empfehlenswert, alle Ergebnisse mit einem Rating schlechter als A mit einem entsprechenden Warnhinweis an den Website-Betreiber weiterzugeben. Der technische Ansprechpartner wird die Hinweise zu deuten wissen, zumindest wurden m\u00f6gliche Risiken damit adressiert.<\/p>\n\n\n\n

    Wenn Sie im Report nach unten scrollen, sehen Sie auch die Ergebnisse zu den oben erw\u00e4hnten potentiellen Problemen bei der Verschl\u00fcsselung, etwa den akzeptierten Protokollen:<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Alle Protokolle unterhalb (also \u00e4lter) als TLS 1.2 sollten mit „No“ gekennzeichnet sein, mindestens eins der Protokolle TLS 1.2 oder TLS 1.3 sollte mit „Yes“ gekennzeichnet sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Die M\u00f6glichkeiten, von Sicherheitsl\u00fccken im eigenen Website-Auftritt betroffen zu sein, sind vielf\u00e4ltig. Potentielle Angriffsziele reichen von der Netzwerk-Infrastruktur \u00fcber Betriebssystem und Systemsoftware (wie Webserver und Datenbank) bis zur Webanwendung in Back- und Frontend. F\u00fcr Datenschutzverantwortliche sind jedoch die Mittel, eine Website im Rahmen eines Audits auf Sicherheitsl\u00fccken zu untersuchen, begrenzt- sofern man nicht im Zweitberuf […]<\/p>\n","protected":false},"author":2,"featured_media":3185,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Wie Sie die Transportverschl\u00fcsselung einer Website \u00fcberpr\u00fcfen","_seopress_titles_desc":"Transportverschl\u00fcsselung ist h\u00e4ufig nur l\u00fcckenhaft umgesetzt, obwohl dies leicht zu erkennen ist. Hier erfahren Sie, wie Sie eine Website daraufhin pr\u00fcfen k\u00f6nnen.","_seopress_robots_index":"","footnotes":""},"categories":[12],"tags":[],"class_list":["post-3159","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/posts\/3159","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/comments?post=3159"}],"version-history":[{"count":4,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/posts\/3159\/revisions"}],"predecessor-version":[{"id":3183,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/posts\/3159\/revisions\/3183"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/media\/3185"}],"wp:attachment":[{"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/media?parent=3159"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/categories?post=3159"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto-test.qivoro.han-solo.net\/de\/wp-json\/wp\/v2\/tags?post=3159"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}