Neue SSL-Sicherheitslücke „Poodle“

Vor wenigen Tagen entdeckten Googles Sicherheitsexperten eine gravierende Sicherheitslücke im SSL-Protokoll 3.0, inzwischen bekannt als „Poodle“. Das Verschlüsselungsprotokoll SSL (Secure Sockets Layer) 3.0 zur sicheren Datenübertragung im Internet ist zwar schon 15 Jahre alt, wird aber immer noch von fast allen Servern als Fallback-Lösung unterstützt.
Bei einer Man-in-the-middle Attacke bewirkt der Angreifer, dass der Browser des Benutzers das Protokoll SSL 3.0 verwendet. Durch eine Schwachstelle im Verschlüsselungsablauf des SSL 3.0, können Cookies ermittelt und bestehende, verschlüsselte Verbindungen übernommen werden.
Damit kann der Angreifer die Identität seines Opfers annehmen. Vor allem beim Einloggen in geschützte Profile, wie z.B. Ihr Online Banking, kann die Sicherheitslücke genutzt werden.

1. Firefox:

• Firefox öffnen und in der Adress-Leiste folgendes eingeben: about:config
• In der Suchmaske „security.tls.version.min“ eingeben
• Doppelklick auf security.tls.version.min
• Den Wert von „0“ auf „1“ ändern und „OK“ drücken

2. Internet Explorer

Über die „Internetoptionen“ im Menü „Einstellungen“ kann über den Reiter „Erweitert“ bei den Sicherheitseinstellungen die Verwendung von SSL 3.0 einfach deaktiviert werden.

3. Chrome

Bei Chrome ist die Deaktivierung auch möglich, allerdings etwas komplizierter. Einfach nach einer geeigneten Beschreibung suchen.

4. Safari

Bisher gibt es keine Möglichkeit, SSL 3.0 in Safari zu deaktivieren.

Auch beim Surfen mit mobilen Endgeräten müssen Sie aufpassen!

Weder Chrome noch der Internet Explorer bieten die Deaktivierung unter Android an. Genauso trifft es Safari Nutzer, sowohl bei der Dektop- als auch bei der mobilen Version. Daher empfehlen wir auch bei mobilen Endgeräten den Einsatz von Firefox.