In allgemeinen Fachkreisen bereits seit vielen Jahren im Gespräch wurde HTTPS 2017 zum Trend in Deutschland. Da in den weitgehend unkritischen deutschen Medien fast ausschließlich die Befürworter Redefreiheit erhalten, wird hier diese ganze Sache auch kritisch betrachtet, und die konkreten Bedenken anderer Sicherheitsexperten aus der ganzen Welt kommen zu Wort. Dabei werden unverhofft zahlreiche Haken und Ösen sichtbar.
- Von den Befürwortern (u.a. den Browser-Herstellern) wird pauschal nur in zwei Kategorien eingeteilt:
sicher
undunsicher
. - Bereits in der Wortwahl liegt ein typischer Übersetzungsfehler aus dem Englischen vor. Dort verwendet man korrekt im Zusammenhang mit HTTPS das Wort
secure
odersecured
. Dies ist jedoch mitgesichert
oderabgesichert
zu übersetzen. - Folglich stehen
mit HTTPS (ab-) gesicherte Internet-Verbindungen
solchen gegenüber, dienicht mit HTTPS abgesichert
sind. - Sicherheitsberater und -Techniker sprechen auch korrekt nie von (absoluter) Sicherheit, sondern immer von Zonen, Stufen, Bereichen, Ebenen der Sicherheit.
- Korrekt spricht man im Englischen auch von
a more secure Internet
- einem Internet mit höherer Sicherheit. Das Wortsafe
, welches eher dem pauschalen deutschensicher
entspricht, wird dafür im Englischen von offizieller Seite nicht verwendet. - Dieser Artikel über Sicherheit mit HTTPS, SSL, TLS erklärt Ihnen (auch als Laien verständlich) die Graustufen der damit verbundenen Sicherheitsebenen, damit Sie selbst entscheiden können, wie Sie dies zu bewerten haben, und was Sie als Nutzer (eines Browsers) oder Betreiber (eines Internet-Auftrittes) tun können.
Um die Vor- und Nachteile von HTTPS bewerten zu können, muss man zuerst einen kurzen Blick auf die Geschichte des Internets werfen.
- Als US-Militärs das Internet 1959 konzipierten bestand die Forderung darin, Datenpakete = Nachrichten von A nach B zu transportieren, selbst wenn ein Großteil der weltweiten Kommunikationsmittel durch einen atomaren Erstschlag des Gegners zerstört wären. Dazu benötigte man dezentral arbeitende Netzwerke, die sich gegenseitig ersetzen konnten.
- Datensicherheit meinte damals nur, dass eine Nachricht irgendwie komplett am Ziel ankommen soll - i.e. den reinen Datentransport. Unter Sicherheit verstanden die Erdenker des ursprünglichen internationalen Netzwerkes somit nur Ausfallsicherheit. Dies wurde mit dem sogenannten ARPANET 1969 erreicht - Advanced Research Projects Agency Network. Dazu hatte man das noch heute verwendete Netzwerkprotokoll TCP/IP entwickelt.
- Da es sich um ein US-Netzwerk handelte, das zuerst auch nur der NATO und den anderen Militärpartnern zur Verfügung stand, machte man sich keine großen Sorgen um Datensicherheit im modernen Sinne, insbesondere stand der Datenschutz nicht im Blickfeld.
- Die Teilnetze arbeiteten autark. Nachrichten wurden (zerteilt in kleine Datenpakete) folglich von Knoten zu Knoten weitergereicht, wobei niemand im Voraus wusste, welche Netzwerkknoten (= Computer) verwendet wurden, oder von dort als nächstes angesteuert wurden. Exakt dies machte die Unzerstörbarkeit aus. Selbst wenn viele Knoten zerstört worden wären, hätten die Datenpakete eine oder mehrere andere Route(n) eingeschlagen. Beim Empfänger wären die Einzelteile wieder zur Gesamtnachricht zusammengesetzt worden.
- Da die Beteiligten aus quasi nur zugelassenen Clubmitgliedern (Insidern) bestanden, spielte es keine Rolle, wie die Nachrichten sich im Netz fortbewegten. De facto war sogar das unkontrollierbare = unzerstörbare Fortbewegen der Nachrichten das Ziel.
- Um diese Kommunikation über alle Medien (Netze) durchgängig führen zu können, wurden in den 1970er Jahren Abstraktions-Ebenen (abstraction layers) eingeführt:
- Im Prinzip handelt es sich um 4 bis 7 Schichten, denen jeweils Funktionen zugeordnet wurden.
- Das war ein in jeder Beziehung wichtiger Schritt. Denn nun wurden Aufgaben delegiert. D.h. bestimmte Schichten führten bestimmte Aufgaben durch und hatten dazu allerdings auch bestimmte Rechte.
- Spätestens hier steigen normalerweise die meisten Betrachter aus. Denn hier wird es wirklich kompliziert und auch fehleranfällig.
- Eigentlich wurden diese Ebenen erdacht, um Fehler zu vermeiden. Da sich jeder jedoch darauf verlässt, dass der andere Programmierer auf der darunter liegenden Ebene alles korrekt durchführt, und die erforderlichen Schnittstellen passen, können dadurch auch gigantische Sicherheitslöcher entstehen.
- Bitte behalten Sie das Schichtmodell im Kopf. Wir werden es bei HTTPS wieder benötigen.
- Als weiterer Gefahrenpunkt war bereits früh die Autonomie, der Autarkismus aller Systeme, erkannt. De Facto kontrollieren die Router (spezielle Hard- und Software, welche die Daten auf bestimmte Wege schicken) die Netzwerke. Aus damaliger Sicht war dies sinnvoll.
- Hinzu kommen sowohl politische wie ökonomische Gefahrenpunkte: So technisch dezentral das Internet auch ist, die USA haben bis heute sämtliche hierarchisch und organisatorisch wichtigen Stellen in ihrer eigenen Hand behalten. Letztendlich bestimmen sie die Spielregeln.
Das bedeutet also:
- Die unteren Layer / Ebenen und eigentlich das gesamte Denkgebäude = IT-System hatten einen völlig anderen Zweck und keinen Bezug zum modernen Datenschutz.
- Im Grund waren Privatnutzer und kommerzielle Firmen, die dann auch noch Geschäfte miteinander über dieses Netzwerk tätigten, in der Frühphase nicht vorgesehen.
Für HTTP bedeutet das:
- Ab 1972 wurden systematisch US-Universitäten und dann auch weitere Forschungseinrichtungen weltweit an das zunehmend als Internet bezeichnete Netz angeschlossen.
- Systematisch wurden auf das Protokoll TCP/IP weitere Ebenen / Layer und Protokolle (= Dienste) aufgeschaltet, wie z.B. E-Mail, FTP etc. Zusätzlich wurden die Details dazu im Zuge der allgemeinen Modularisierung und Objektorientierung als eigenständige Module geschaffen, wodurch alles noch undurchschaubarer wurde.
- Bereits dies machte die Infrastruktur schon damals ziemlich unsicher. Aber es störte noch kaum jemanden.
- Relevant wurde das Ganze erst, als man oben drauf die HTTP-Ebene setzte und sich das damit verbundene WWW ab 1989 explosionsartig für private sowie kommerzielle Nutzer öffnete und verbreitete.
- Hinzu kommt ein vergessener resp. gerne verschwiegener Umstand: Die unsichere Architektur des Internets mit den vielen Schichten sowie komplexen Modulen wurde in den letzten Jahrzehnten für fast alle Geräte übernommen, die an das Internet angeschlossen werden sollten: Alle Hardware, Betriebssysteme etc. D.h. inzwischen ist Ihr PC, Smartphone, Tablett, Auto etc. auch so konzipiert.