News 25.07.2014, 09:26 Uhr

Verschlüsseltes Surfen verrät viel

Wer verschlüsselt surft, verrät trotzdem so einiges über sich. Analysten können heikle, personenbezogene Informationen aus den Onlinebewegungen von Nutzern gewinnen.
Verschlüsselte Daten sagen mehr über eine Person aus, als man denkt
Quelle: CC BY 2.0
Datenverschlüsselung im Internet schützt private Daten vor potenziellen Angreifern und Dieben. Per SSL verschlüsselte Daten sind für Werber und Hacker gleichermassen unlesbar, können jedoch durch ihre reine Anwesenheit viel über einen Internetnutzer verraten. Wissenschaftler der Cornell-Universität in den USA konnten den HTTPS-Traffic eines Nutzers innerhalb einer Webseite verfolgen und so Rückschlüsse auf die Person ziehen.
Wie die Forscher in ihrer Arbeit «I Know Why You Went to the Clinic» schreiben, konnten Sie eine Person innerhalb einer mit HTTPS verschlüsselten Webseite auf diverse Unterseiten verfolgen. Die Erfolgsrate des HTTPS-Angriffs lag bei 89 Prozent und konnte auf verschiedensten Webseiten angewendet werden. Die Wissenschaftler folgten Nutzer auf zehn Webseiten: Mayo Clinic, Planned Parenthood, Kaiser Permanente, Wells Fargo, Bank of America, Vanguard, ACLU, Legal Zoom, Netflix und YouTube. Auf diesen Seiten konnten insgesamt über 6000 Unterseiten erkannt werden. So konnte beispielsweise über Besucher der Banken-Webseiten herausgefunden werden, ob sie sich für Investitionen oder einen Kredit interessieren.
Persönlicher wird es bei Seiten wie bei der Mayo Clinic oder Planned Parenthood. Hier konnten die Wissenschaftler herausfinden, ob der Nutzer möglicherweise eine Abtreibung plant oder Medikamente gegen HIV/AIDS benötigt. «Diese Informationen können als Basis für Verfolgung und Diskriminierung dienen», schreiben die Wissenschaftler. «Andernfalls könnten Werber die Informationen nutzen, um gezielt Werbung für ein Produkt zu schalten, dass sich der Nutzer höchstwahrscheinlich kaufen wird».
Um die verschlüsselten Daten eines Nutzers verfolgen zu können, benötigt man Zugriff auf den allgemeinen Web-Traffic des Nutzers. Besonders Internetanbieter und Unternehmen könnten dadurch leicht ihren Kunden, respektive Angestellten nachstellen. Die Wissenschaftler liefern zur Angriffsmethode auch eine Verteidigung mit. Diese kann jedoch nur die Erfolgschance eines Angriffs verkleinern, nicht aber einen Angriff komplett vereiteln. Zudem müsste die Abwehr in SSL eingebaut werden. Der durchschnittliche Nutzer kann derzeit also nichts gegen solche Angriffe unternehmen.



Kommentare
Es sind keine Kommentare vorhanden.