Die Verbindung zu Webseiten ist in der Regel verschlüsselt - daher das S in HTTPS. Wenn diese Verschlüsselung fehlt oder fehlerhaft ist, zeigt der Browser eine Warnmeldung, blockiert vielleicht sogar den sofortigen Zugang. Aber diese Sicherheit kann trügen.
Schon vor acht Jahren habe ich in einem Artikel beschrieben, wie Arbeitgeber trotz Verschlüsselung mithören können. Und bevor Ihr an Online-Banking im Büro denkt, solltet Ihr den Artikel wirklich mal lesen!
Aber Arbeitgeber sind da nicht alleine, auch Eure Security-Suite kann lauschen - was heißt kann, vermutlich tut sie es einfach. Ob das bei Euch der Fall ist, könnt Ihr ganz einfach prüfen:
- Öffnet eine Webseite im Browser (etwa Chrome),
- klickt auf das Symbol für Webseiten-Informationen links von der URL,
- dann auf "Verbindung ist sicher" und letztlich auf
- "Zertifikat ist gültig".
Hier seht Ihr dann von Seite zu Seite unterschiedliche Aussteller, beispielsweise Let's Encrypt oder Google Trust Service oder AWS und so weiter. Oder Ihr seht auf jeder Seite etwas wie "Norton Web/Mail Shield". Und genau das ist dann ein Man-in-the-Middle-"Angriff".
Will ich einen MITM?
Der Grund dafür ist einfach und ehrenwert: So eine Security-Suite möchte bösartige und verdächtige Webseiten, Downloads, Datentransfers untersuchen - kann sie aber nicht, wenn die Verbindung verschlüsselt ist. Also klinkt sie sich zwischen die Verbindung und setzt eigene Zertifikate ein.
Ihr habt also eigentlich keine verschlüsselte Verbindung zwischen Eurem Browser und der besuchten Webseite, sondern zwischen Eurem Browser und der Security-Suite - und die wiederum hat die Verbindung zur besuchten Webseite. Und das gleiche Konzept nutzen Sicherheitsprogramme auch für das Scannen Eurer Mails.
Wenn Ihr Eurem Security-Werkzeug vertraut, mag das ein wünschenswertes Verhalten sein. Und Norton zumindest gibt auch direkt an: generated by Norton Antivirus for SSL/TLS scanning. Das ist also durchaus transparent. Nun, als dieses Feature eingeführt wurde, wäre ich gerne sehr offensiv darüber informiert worden - das war aber leider nicht der Fall.
Für dieses eventuelle Mehr an Sicherheit gebt Ihr aber einen Teil der Vertraulichkeit auf. Wollt Ihr beim Online-Banking eine direkte, verschlüsselte, vertraute Verbindung zu Eurer Bank haben oder eine kommerzielle Security-Suite als Zwischenstopp einsetzen?
Wichtig ist eigentlich nur, dass Ihr wisst, was dahinter steckt. Und: Es ist normales, kontrovers diskutiertes Verhalten, das nicht eindeutig gut oder schlecht zu nennen ist - es gibt da keinen fachlichen Konsens.
TLS-Scanning deaktivieren
Ihr könnt die Funktion natürlich immer deaktivieren. Das einzig Schwierige: Das Feature zu finden. Bei Norton liegt es unter Sicherheit/Erweitert/Safe Web/HTTPS-Scanning. Generell solltet Ihr nach Begriffen suchen wie: TLS-Scanning, TLS-Proxy, Web Shield/Safety, Webseitensicherheit ... Der allgemeine Begriff für das Aufbrechen einer TLS-Verbindung ist TLS interception.
Bisweilen findet Ihr weitere ähnliche Features für Apps und Mail. Es lohnt sich, mal gründlich in den Optionen von Sicherheitsprogrammen zu stöbern.
