Newsletter des BSI: In den letzten Monaten mehren sich die Angebote verschiedener Anbieter, die durch die Installation einer speziellen Zusatzsoftware auf dem PC des Kunden ein schnelleres Surfen im Internet versprechen. In der Regel handelt es sich dabei um unseriöse Marktforschungsunternehmen, die diese Software nach einer Registrierung kostenlos zum Download zur Verfügung stellen. Durch die Installation der Software wird der Datenverkehr beim Surfen im Internet über Proxy-Server zum Glossar des Anbieters geleitet - die Geschwindigkeitssteigerung soll dabei durch Komprimierung der Daten bei der Übertragung zwischen Anbieter und Kunde erzielt werden.
Die meisten Anwender sind sich bei der Nutzung eines solchen Angebots nicht bewusst, dass der Anbieter den gesamten Datenverkehr mitlesen, analysieren und mit den vom Anwender bei der Registrierung angegebenen persönlichen Daten verknüpfen kann. Eine besondere Bedrohung besteht darin, dass auch sensible Informationen - z. B. beim Internet-Banking übermittelte Daten wie Kontostand oder PINs und TANs - mitgelesen werden können. Auch vermeintlich durch eine SSL-Verbindung zum Glossar geschützte Daten sind bei der Nutzung von "Surf-Turbos" einiger Anbieter nicht vor unbefugtem Mitlesen sicher, da die verschlüsselte Verbindung auf dem Proxy-Server des Anbieters aufgebrochen wird. Es besteht dann keine direkte verschlüsselte Verbindung zwischen dem Browser des Anwenders und dem Server der besuchten Webseite, sondern der Datenstrom wird auf dem Proxy-Server entschlüsselt und anschließend erneut verschlüsselt. Dies geschieht für den Anwender unbemerkt, da bei der Installation der Software ein zusätzliches Zertifikat des Anbieters installiert und automatisch in die Liste der vertrauenswürdigen Zertifikate zum Glossar aufgenommen wird. Der Internet-Browser zeigt dadurch keine Warnmeldung, dass die verschlüsselte Verbindung nicht zwischen dem PC des Anwenders und dem Server der besuchten Webseite (zum Beispiel einer Online-Bank), sondern lediglich bis zum Proxy-Server des Anbieters besteht.
Das BSI rät von der Nutzung von "Surf-Turbos" ab, wenn beim Surfen sensible Informationen wie Passwörter, PINs, TANs, vertrauliche oder personenbezogene Daten übermittelt werden.
Keine Kommentare:
Kommentar veröffentlichen