logins

Wie oft gebt Ihr irgendwo Nutzername und Passwort ein? Vermutlich ständig. Sind die Passwörter gut? Falls nicht, könnt Ihr hier mal sehen, wie irre einfach man Logins angreifen kann. Und auch für Notfälle ist das eine nützliche Fähigkeit: Ihr habt ein Passwort vergessen? Auch zu guten Zwecken kann man „hacken“ …Weiterlesen »

Vermutlich kennt Ihr das kleine „s“ bei HTTPS, beziehungsweise das grüne Schlosssymbol links neben der Adresse im Browser. Es zeigt: Ihr habt eine verschlüsselte Verbindung, nur Ihr und das andere Ende könnt die Daten sehen, die transportiert werden. Wenn Ihr also Passwörter eingebt oder private Mails abruft, kann das auch der Arbeitgeber nicht sehen – sollte man meinen, stimmt aber nicht …

Darf der das?

Kommt drauf an. Wenn Ihr den Rechner sowieso nicht privat nutzen dürft, erledig sich die Fragestellung. Und wenn die private Nutzung erlaubt ist, kann man Euch natürlich entsprechende Erklärungen unterschreiben lassen, dass bei privater Nutzung Daten mitgeschnitten werden. Das gilt dann natürlich auch bei Verschlüsselung.

Problematisch wird es, wenn Ihr privat surfen dürft und dann beispielsweise Online-Banking-Seiten, Web-Mail-Clients wie Gmail oder einen Chat aufruft. Dann solltet Ihr Euch nicht nur auf das grüne Schloss verlassen.

Wie geht das?

Das Schlüsselwort heißt TLS-Proxy, oder SSL-Proxy. Das Schlosssymbol zeigt an, dass Eure Verbindung SSL-/TLS-verschlüsselt ist und wenn es auch noch grün ist, handelt es sich auch um ein korrektes Zertifikat. Über solche Zertifikate weisen sich Browser, Server und sonstige Teilnehmer im Netz gegenüber den anderen aus.

Das Problem im Unternehmensnetzwerk: Wenn durch solch verschlüsselte Kanäle Malware auf Euren Rechner kommt oder Malware auf Eurem System verschlüsselte Verbindungen zu seinem Schöpfer aufbaut, sehen das eben auch weder der Admin noch die Systeme, die das Eindringen von Malware verhindern sollen. Es wird quasi der Virenscanner umgangen.

Ein TLS-Proxy bricht nun die Verbindung auf: Ihr wählt beispielsweise Tutonaut.de an, Euer Browser/Arbeitsplatz ist aber so konfiguriert, dass er einen zwischen Euch und das Internet geschalteten „Zwischen-Server“, eben den Proxy nutzt. So baut Ihr eine verschlüsselte Verbindung zum Proxy auf und der Proxy eine verschlüsselte Verbindung zu Tutonaut.de. Und wer den Proxy kontrolliert, kann eben alles im Klartext sehen.

Ein zusätzliches Problem: Ihr könnt nur die Details der Verbindung zum Proxy sehen, nicht aber, wie der Proxy mit Tutonaut.de verbunden ist – Ihr müsst also dem Proxy-Admin blind vertrauen.

Und noch ein Problem: Manchmal möchte man manuell Ausnahmen zu Problemen mit Zertifikaten machen, zum Beispiel, wenn man sich mit der eigenen Website verbinden oder irgendwo eh nur Fake-Daten eingeben will. Und wenn nun das dortige Zertifikat lediglich kürzlich abgelaufen ist, wisst Ihr ja dennoch, dass es in Ordnung ist. Bei einer normalen Verbindung kein Problem, man klickt ein mal auf einen OK-Knopf. Beim Betrieb mit Proxy müsst der Proxy dies erledigen – in der Regel wird es also nicht möglich sein.

Wie finde ich das heraus?

Einen solchen Proxy identifiziert Ihr ganz einfach: Ihr seid ja gerade mit Tutonaut.de verbunden. Klickt oben auf das grüne Schloss und lasst Euch dann – je nach Browser – weitere Details anzeigen. Dort sollte stehen: Verifiziert von Geo Trust Inc. – wenn ein TLS-Proxy dazwischen hängt, seht Ihr vermutlich Verifiziert von Mein Arbeitgeber GmbH. Auf jeden Fall aber seht Ihr auf allen Seiten dieselbe Meldung.

So ein TLS-Proxy hat gute und schlechte Seiten. Es ist die derzeit (noch!) gängige Strategie gegen Malware-Aktivitäten über verschlüsselte Verbindungen. Andererseits führt sie eine angedachte Ende-zu-Ende-Verschlüsselung zumindest aus Endnutzersicht ad absurdum. Und sie machen ein schönes Standardprotokoll völlig intransparent. Aber hey, es ist ja auch ein klassisches Man-in-the-Middle-Szenario ;)

Weitere Artikel zum Thema Sicherheit findet Ihr hier und einen Erfahrungsbericht über unsere eigene Umstellung auf HTTPS hier.

Ein neuer Player im Passwort-Business versucht auf dem deutschen Markt Fuß zu fassen: Password Boss. Der Passwort-Safe verwaltet Eure Login-Daten, automatisiert Logins im Browser und funktioniert synchron auf mehreren Geräten. Da ist uns durchaus ein interessantes Produkt angedient worden – denn wir können nur jedem dringend empfehlen, einen Passwort-Manager zu nutzen. Ihr müsst Euch nur noch ein einziges Passwort merken, nie wieder Eure Daten im Browser eintippen und könnt genau daher viel bessere Passwörter nutzen. Aber wie gut ist der Safe und was gibt es für 29,99 USD pro Jahr?Weiterlesen »