Dieser Browser wird nicht mehr unterstützt

Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.

Internetsicherheit: Provider lassen Nutzer oft im Stich

(c) REUTERS (KACPER PEMPEL)
  • Drucken

Nur etwa die Hälfte aller Web- und E-Mail-Server in Österreich bietet den Nutzern automatische Verschlüsselung ohne technische Vorkenntnisse.

Wien. Selbstschutz im Internet ist keine Raketenwissenschaft. Dennoch blieb das Thema trotz Veröffentlichungen über staatliche Spionageaktivitäten und Hackerangriffen von Kriminellen vielen fremd. Zwar gibt es Methoden, die das Nutzen eines Browsers oder das Verschicken von E-Mails auch ohne Vorwissen und automatisch im Hintergrund (annähernd) missbrauchssicher machen, allein: Die meisten Webseitenbetreiber, Diensteanbieter und Provider bieten diese Möglichkeiten schlichtweg nicht an. Das geht aus einer aktuellen Untersuchung von Cert.at hervor.

Cert steht für Computer Emergency Response Team. Die in Wien angesiedelte Organisation ist so etwas wie das IT-Frühwarnsystem für Österreichs Internet. In der Funktion führte das Team von Cert-Leiter Otmar Lendl über mehrere Monate Messungen an in Österreich ansässigen Web- und E-Mail-Diensten durch. Vereinfacht gesagt, durchforstete ein Programm automatisiert das heimische Internet und prüfte alle Server im Land, ob sie ihren Nutzern verschlüsselte Kommunikation anbieten. Die ernüchternde Antwort: 55 Prozent der Webserver und 43 Prozent der Mailserver tun das nicht. Obwohl man weiß, dass die großen Geheimdienste den Datenverkehr an bestimmten Netzknoten gesamtheitlich auswerten, obwohl es immer häufiger passiert, dass Hacker unbemerkt Daten aus Verbindungen (etwa zwischen einem Privatnutzer und einem Internetshop) abgreifen. Das müsste nicht sein.

Lob für große Dienstanbieter

Die Technologie dafür ist seit fast 20 Jahren vorhanden. Moderne Browser wie Firefox, Internet Explorer und Chrome können – wie die meisten E-Mail-Programme – vollautomatisch stark verschlüsselte Verbindungen mit Webseiten oder digitalen Postfächern herstellen. Voraussetzung ist nur, dass der Server auf der anderen Seite und gegebenenfalls der Mailserver des E-Mail-Partners diese Technologie ebenfalls versteht. „Der Aufwand für die Serverbetreiber ist nicht groß“, sagt Wolfgang Breyha, der an der Universität Wien für den Betrieb von 100.000 E-Mail-Adressen verantwortlich ist. Ein Prozent mehr Prozessorleistung und 250 Euro für ein digitales Zertifikat erhöhen die Abhörsicherheit für alle angeschlossenen Nutzer enorm.

Die Kosten allein können also nicht der Grund sein, warum das Sicherheitsbedürfnis der Internetnutzer zwar massiv steigt, das Angebot dafür jedoch nicht. Bei Cert glaubt man, dass das Hauptproblem eher die mangelnde Wartung der Server insbesondere in kleinen und mittelgroßen Unternehmen ist. Dort fehlt es oft an Know-how, Zeit oder schlichtweg dem Bewusstsein, dass man mit kleinen Investitionen den Mailverkehr eines ganzen Unternehmens erheblich weniger angreifbar machen kann.

Umgekehrt stellen Lendl und seine Mitarbeiter den großen E-Mail-Anbietern wie zum Beispiel Gmail (Google) oder GMX in Bezug auf die Übertragungssicherheit ein sehr gutes Zeugnis aus. Das Gleiche gilt sinngemäß für die großen Internetversandhäuser oder die Dienste der namhaften Provider aus Österreich. Sie verschlüsseln die Verbindungen zu den Servern der Empfänger automatisch, das funktioniert allerdings nur, wenn die Gegenseite – siehe oben – die Technologie ebenfalls einsetzt. Tut sie das nicht, und klinkt sich dann ein Geheimdienst oder ein Hacker in die Übertragung ein, liegt der Inhalt der Nachricht offen.

Wie sehe ich aber als Laie, ob der eigene Computer eine sichere Verbindung aufgebaut hat, oder nicht? Im Browser ist das wergleichsweise einfach. In der Adresszeile erkennt man eine Verschlüsselung zum Beispiel an einem vorangestellten Schlosssymbol oder daran, dass die Adresse mit https, und nicht mit http beginnt. Das zusätzliche S steht dabei für das englische secure (sicher). Mit einem Mausklick auf das Schlosssymbol erfährt man mehr dazu.

Automatische Verschlüsselung

Bei E-Mail-Diensten kommt man in der Regel nicht darum herum, sich beim Anbieter zu erkundigen. Informationen dazu gibt es fast immer auf den entsprechenden Webseiten. Die meisten großen Betreiber verschicken E-Mails, wenn diese über die Browser-Maske erstellt werden, automatisch verschlüsselt. Verwendet man dafür auf dem eigenen Computer installierte Programme, dann sollte man in den Einstellungen Menüpunkte wie SSL oder TLS unbedingt aktivieren. Wer selbst einen Mailserver betreibt, findet unter der Adresse https://bettercrypto.org Hilfestellungen des Cert-Teams. (awe)

("Die Presse", Print-Ausgabe, 08.08.2014)