Was ist ein SSL-Stripping-Angriff und wie kann er verhindert werden?

Zuletzt aktualisiert am von Dionisie Gitlan
SSL Stripping Attack

Seit ihrer Einführung auf dem kommerziellen Markt haben SSL-Zertifikate mehrere Sicherheitsverbesserungen erfahren und bieten nun ein nahezu unüberwindbares Verschlüsselungsniveau. Die kontinuierlichen SSL-Verbesserungen haben jedoch zynische Angreifer nicht davon abgehalten, zu versuchen, die verschlüsselten Daten zu stehlen.

Selbst mit robusten Sicherheitsmaßnahmen droht im Internet eine Cyber-Bedrohung, die als SSL-Stripping bekannt ist. Sie sucht nach Sicherheitslücken und Schwachstellen in der HTTPS-Konfiguration und ist bereit, bei der ersten Unachtsamkeit zuzuschlagen. Dieser Artikel erklärt, was ein SSL-Stripping-Angriff ist, warum er gefährlich ist und wie Sie SSL-Stripping-Angriffe erkennen und verhindern können, die Ihre Website und Ihr Unternehmen bedrohen.

Inhaltsübersicht

  1. Was ist SSL-Stripping?
  2. Wie funktioniert SSL-Stripping?
  3. Welche Arten von SSL-Stripping gibt es?
  4. Warum ist SSL-Streifen so gefährlich?
  5. Wie kann man SSL-Stripping erkennen?
  6. Wie lässt sich SSL-Stripping verhindern?
  7. Schlussfolgerung

Was ist SSL-Stripping?

SSL-Stripping ist ein Cyberangriff, der auf die sichere Kommunikation zwischen einem Benutzer und einer Website abzielt. Es macht sich die Tatsache zunutze, dass die meisten Websites und Online-Dienste die SSL/TLS-Verschlüsselung verwenden, um sensible Daten, die über das Internet übertragen werden, zu schützen. Bei einem SSL-Strip-Angriff wird eine sichere HTTPS-Verbindung zu einer unsicheren HTTP-Verbindung herabgestuft, was es Cyberdieben erleichtert, die Daten bei der Übertragung zwischen einem Webserver und einem Client abzufangen und zu manipulieren.

Wie funktioniert SSL-Stripping?

Im Jahr 2009 sprach Moxie Marlinspike, ein bekannter amerikanischer Computersicherheitsforscher, der sich für den weit verbreiteten Einsatz von starker Kryptografie und PET (Privacy Enhancing Technologies) einsetzt, auf der Informationssicherheitsveranstaltung Black Hat zum ersten Mal über den SSL-Streifen.

Um besser zu verstehen, wie SSL-Stripping-Angriffe funktionieren, betrachten wir ein Szenario, in dem ein Benutzer über HTTPS auf eine Website zugreifen möchte. Der Webbrowser des Nutzers initiiert die Verbindung, indem er ein SSL-Zertifikat von der Website anfordert. Wenn das SSL-Zertifikat der Website gültig ist, vertraut der Browser darauf und erlaubt den Besuchern den Zugriff auf die Webseite.

Bei einem SSL-Stripping-Angriff fungiert der Angreifer jedoch als Mittelsmann, der die ursprüngliche Anfrage abfängt und die Verbindung zu HTTP herabstuft, bevor sie die Website erreicht. Infolgedessen bemerkt der Browser den Angriff nicht und ermöglicht es dem Hacker, alle zwischen dem Benutzer und der Website übertragenen Daten abzufangen, zu lesen und zu verändern.

Der Angreifer positioniert sich mit verschiedenen Mitteln zwischen dem Benutzer und der Website, z. B. über einen betrügerischen Wi-Fi-Hotspot oder ein kompromittiertes Netzwerkgerät. Dann ändern sie die Antwort der Website, entfernen alle Verweise auf HTTPS und ersetzen sie durch HTTP.

Außerdem können sie sichere Links, Weiterleitungen oder andere Elemente, die HTTPS erzwingen, entfernen.

Da der Browser des Benutzers nun denkt, dass die Website HTTP verwendet, werden alle nachfolgenden Anfragen des Benutzers, z. B. die Übermittlung von Anmeldedaten oder sensiblen Informationen, über eine unsichere Verbindung gesendet.

Welche Arten von SSL-Stripping gibt es?

Es gibt zwei gängige Arten von SSL-Stripping-Angriffen: passive und aktive. Lassen Sie uns in die technischen Details eintauchen und die einzelnen Angriffe untersuchen.

Passives SSL-Stripping

Bei einem passiven SSL-Stripping-Angriff fängt der Angreifer die Kommunikation zwischen dem Benutzer und der Website ab, ohne Daten zu verändern. Hier finden Sie eine Aufschlüsselung des Prozesses:

  1. Der Benutzer stellt eine Verbindung zur Website über HTTPS her, aber der Angreifer fängt diese Verbindung ab.
  2. Der Hacker führt dann einen SSL-Downgrade-Angriff durch, indem er die Antwort-Header manipuliert, die an den Browser des Benutzers zurückgeschickt werden.
  3. Sobald die Verbindung heruntergefahren ist, kann der Angreifer die gesamte Kommunikation zwischen dem Benutzer und der Website abfangen und einsehen.
  4. Der Angreifer sammelt die abgefangenen Daten unbemerkt für böswillige Zwecke, wie Identitätsdiebstahl, Kompromittierung von Konten oder unbefugten Zugriff auf sensible Ressourcen.

Aktives SSL-Stripping

Aktive SSL-Stripping-Angriffe gehen noch einen Schritt weiter, indem sie nicht nur die Verbindung zu HTTP herabstufen, sondern auch den Inhalt der zwischen dem Benutzer und der Website ausgetauschten Webseiten verändern. Hier ist eine ausführlichere Erklärung:

  1. Der Angreifer fängt die HTTPS-Verbindung des Benutzers ab und stuft sie auf HTTP herab, ähnlich wie beim passiven SSL-Stripping.
  2. Beim aktiven SSL-Stripping verändert der Hacker aktiv den Inhalt der Webseiten, die zwischen dem Nutzer und der Website ausgetauscht werden. Sie können verschiedene Techniken anwenden, wie z. B.:
  • Ändern von Links: Der Angreifer ändert Links innerhalb der Webseite so, dass sie auf unsichere HTTP-URLs statt auf sichere HTTPS-URLs verweisen.
  • Einschleusen von bösartigem Code: Der Angreifer kann böswilligen JavaScript- oder HTML-Code in die Webseite einfügen, um Benutzereingaben abzufangen oder sensible Daten zu stehlen.
  • Umleitung des Benutzers: Der Angreifer kann den Benutzer auf eine gefälschte Website umleiten, die die legitime Website imitiert – ein klassischer Phishing-Angriff mit potenziell schlimmen Folgen.

Aktive SSL-Stripping-Angriffe sind gefährlicher als passive Angriffe, da sie eine Manipulation der Inhalte beinhalten und zu einer zusätzlichen Ausnutzung und Kompromittierung der Benutzerdaten führen können.

Warum ist SSL-Streifen so gefährlich?

SSL Strip leitet den gesamten vom Rechner des Opfers ausgehenden Datenverkehr an einen vom Angreifer eingerichteten Proxy um. Versetzen wir uns nun in die Lage des Angreifers. Wir haben eine Verbindung zwischen dem Opfer und unserem Proxyserver hergestellt. Sie kann den gesamten Verkehr abfangen, der zu uns fließt. Ohne die Verwendung des SSL-Streifens würden wir nur die verschlüsselten Daten erhalten, die wir nicht entschlüsseln können.

Aber die Dinge ändern sich drastisch, wenn wir den SSL-Streifen in den Mix einbeziehen. Wenn jemand eine Verbindung zu unserem Proxy-Server herstellt, während der Strip im Hintergrund läuft, erhält das Opfer vom Browser keine Warnung über den SSL-Zertifikatsfehler. Sie werden nicht den Verdacht haben, dass ein tatsächlicher Angriff stattfindet. Wie also kann der SSL-Streifen sowohl den Browser als auch den Server der Website überlisten?

Der Streifen macht sich die Art und Weise zunutze, wie die meisten Benutzer auf SSL-Websites kommen. Die meisten Besucher kommen über eine Weiterleitung (z. B. 302 Weiterleitungen) oder über einen Link von einer Nicht-SSL-Site auf eine SSL-Seite. Wenn das Opfer beispielsweise ein digitales Produkt kaufen möchte und die folgende URL in die Adressleiste www.somedigitalproduct.com eingibt , verbindet sich der Browser mit dem Rechner des Angreifers und wartet auf eine Antwort vom Server. Der Angreifer wiederum leitet die Anfrage des Opfers an den Server des Online-Shops weiter und erhält die sichere HTTPS-Zahlungsseite. Zum Beispiel https://www.somedigitalproduct.com.

An diesem Punkt hat der Angreifer die vollständige Kontrolle über die sichere Zahlungsseite. Er stuft sie von HTTPS auf HTTP herab und sendet sie zurück an den Browser des Opfers. Der Browser wird nun auf http://www.somedigitalproduct.com umgeleitet . Von nun an werden alle Daten des Opfers im Klartextformat übertragen, und der Angreifer kann sie abfangen. In der Zwischenzeit geht der Server der Website davon aus, dass er erfolgreich eine sichere Verbindung hergestellt hat. Das hat er auch getan, aber mit dem Rechner des Angreifers, nicht mit dem des Opfers.

Wie kann man SSL-Stripping erkennen?

Es kann zwar schwierig sein, SSL-Stripping-Angriffe zu erkennen, aber es gibt mehrere Indikatoren, auf die Sie achten können. Hier sind fünf Anzeichen, die helfen können, SSL-Stripping zu erkennen.

  1. Fehlendes Vorhängeschloss-Symbol: Wenn Sie eine sichere Website besuchen, zeigt Ihr Browser normalerweise ein Vorhängeschloss-Symbol in der Adressleiste neben der URL der Website an. Wenn das Vorhängeschloss-Symbol fehlt oder durch ein Warnsymbol ersetzt wird, könnte dies darauf hindeuten, dass die Verbindung jetzt über HTTP erfolgt, und es könnte zu einem SSL-Stripping kommen.
  2. Inkonsistente URL: Achten Sie auf die URL der Website. Wenn Sie eine sichere Website zunächst über HTTPS laden, beginnt die URL mit “https://”. Wenn sich die URL zu irgendeinem Zeitpunkt während Ihrer Interaktion mit der Website in “http://” ändert, anstatt als “https://” zu bleiben, deutet dies darauf hin, dass die Verbindung herabgestuft wurde und möglicherweise ein SSL-Stripping im Gange ist.
  3. Browser-Warnmeldungen: Moderne Browser zeigen oft Warnmeldungen an, wenn es Sicherheitsbedenken gibt. Wenn Ihr Browser anzeigt, dass das Sicherheitszertifikat der Website ungültig ist oder die Verbindung nicht sicher ist, sollten Sie die Website verlassen.
  4. Warnungen vor gemischten Inhalten: Sichere Websites (HTTPS) sollten keine Inhalte, wie Bilder oder Skripte, aus unsicheren Quellen (HTTP) laden. Wenn Ihr Browser Warnungen über “gemischte Inhalte” anzeigt, deutet dies darauf hin, dass die sichere Verbindung manipuliert wurde, was auf einen SSL-Stripping-Angriff hindeuten könnte.
  5. Unerwartetes Verhalten: Wenn Sie ein ungewöhnliches Verhalten auf einer Website feststellen, z. B. fehlende Funktionen, defekte Bilder oder inkonsistente Seitenelemente, könnte dies auch ein Zeichen für einen SSL-Stripping-Angriff sein. Angreifer können den Inhalt verändern oder bösartigen Code einschleusen, was zu einem unerwarteten Verhalten der Website führt.

Es ist zu beachten, dass diese Indikatoren nicht narrensicher sind und nicht immer auf einen MitM-Angriff oder einen SSL-Strip hinweisen. Wenn Sie jedoch eines dieser Anzeichen bemerken, ist es ratsam, Vorsicht walten zu lassen und die Möglichkeit eines laufenden Angriffs in Betracht zu ziehen.

Wie lässt sich SSL-Stripping verhindern?

Die Verhinderung von SSL-Stripping erfordert einen mehrschichtigen Ansatz. In erster Linie sollten Website-Besitzer standardmäßig HTTPS-Verbindungen erzwingen, indem sie HTTP Strict Transport Security (HSTS) implementieren, wodurch der Browser des Benutzers angewiesen wird, nur über sichere HTTPS-Verbindungen mit der Website zu kommunizieren. Außerdem sollten Website-Betreiber das SSL-Zertifikat rechtzeitig erneuern und die neuesten kryptografischen Protokolle und Verschlüsselungsalgorithmen verwenden.

Aus der Sicht des Nutzers ist es wichtig, wachsam zu sein und die Sicherheit von Websites zu überprüfen, bevor er sensible Informationen weitergibt. Benutzer sollten auf das Vorhängeschloss-Symbol achten, das Präfix “https” in der URL überprüfen und vorsichtig sein, wenn sie Anmeldedaten eingeben oder Online-Transaktionen auf unbekannten oder verdächtigen Websites durchführen. Der Einsatz eines zuverlässigen VPN (Virtual Private Network) kann auch zum Schutz vor SSL-Stripping-Angriffen beitragen, da es den gesamten Internetverkehr verschlüsselt und ein Abfangen durch potenzielle Angreifer verhindert.

Schlussfolgerung

Trotz der Fortschritte bei der SSL/TLS-Verschlüsselung nutzen Angreifer weiterhin Schwachstellen und Schlupflöcher aus, um sichere HTTPS- zu unsicheren HTTP-Verbindungen herabzustufen. Die Erkennung von SSL-Stripping-Angriffen ist jetzt einfacher, da alle modernen Browser HTTP-Websites als unsicher kennzeichnen und die Benutzer auffordern, sie nicht zu benutzen. Indem sie informiert bleiben, solide Sicherheitsmaßnahmen einführen und proaktiv solche Angriffe erkennen und verhindern, können Privatpersonen und Unternehmen für mehr Sicherheit im Internet sorgen.

Häufig gestellte Fragen

Welche Art von Angriff ist SSL-Stripping?

SSL-Stripping ist eine Art von Man-in-the-Middle-Angriff, der auf die sichere Kommunikation zwischen einem Benutzer und einer Website abzielt, indem die sichere HTTPS-Verbindung zu einer unsicheren HTTP-Verbindung herabgestuft wird.

Link kopieren

Was ist ein Beispiel für SSL-Stripping?

In einem Café, das öffentliches WLAN nutzt, führt ein Angreifer einen SSL-Stripping-Angriff durch, indem er die sichere HTTPS-Verbindung eines Benutzers abfängt und zu einer unsicheren HTTP-Verbindung herabstuft, so dass er sensible Daten wie Anmeldeinformationen abfangen und möglicherweise unbefugten Zugriff auf Online-Konten erhalten kann.

Link kopieren

Ist SSL-Stripping ein Downgrade-Angriff?

Ja, SSL-Stripping kann als eine Art von Downgrade-Angriff betrachtet werden. Er stuft die HTTPS-Verbindung auf das anfällige HTTP-Protokoll herab, bei dem die Daten im Klartext übertragen werden. Dadurch können Angreifer die Informationen während der Übertragung abfangen und entschlüsseln.

Link kopieren

Ist SSL-Stripping ein MitM-Angriff?

Ja, SSL-Stripping ist eine Form des MitM-Angriffs. Der Angreifer positioniert sich zwischen dem Benutzer und der Website, fängt die Kommunikation ab und manipuliert den Datenverkehr, wodurch die Sicherheit und der Schutz sensibler Daten gefährdet werden.

Link kopieren

Funktioniert SSL-Stripping bei TLS?

Ja, SSL-Stripping kann bei TLS (Transport Layer Security), dem Nachfolger von SSL (Secure Sockets Layer), funktionieren. Obwohl sich der Name auf SSL bezieht, können Angreifer diese Technik nutzen, um die Sicherheit von SSL- und TLS-Verbindungen zu entfernen, da das zugrunde liegende Prinzip der Herabstufung der Verbindung dasselbe ist.

Link kopieren

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
SSL Prevent Man-In-The-Middle Attacks
Wie verhindert SSL Man-In-The-Middle-Angriffe?
SSL Sniffing
Was ist SSL-Sniffing und wie lässt es sich vermeiden?
Cybersecurity Awareness
Eine Einführung in das Bewusstsein für Cybersicherheit
Protect Sensitive Data
Wie schützt man sensible Informationen?
Secure Online Payment Processing
11 Best Practices für eine sichere Online-Zahlungsabwicklung