Institut für Internet-Sicherheit – if(is)

Im Durchschnitt sind ca. 5 – 15% des HTTP-Verkehrs überhaupt verschlüsselt.
Im Fachbereich Informatik der Westfälischen Hochschule betrug die Verteilung im Januar 2007 (siehe Abb. 1) noch zu 67% das unsichere RC4/{MD5, SHA1} und nur 33% das sichere AES/SHA1. Hingeben wies die Verteilung im Januar 2008 (siehe Abb. 2) nur noch 35% RC4/{MD5, SHA1} und dafür 65% AES/SHA1 auf.

Ein solch positiver Trend hin zu sicherer TLS/SSL-Benutzung ist leider nicht überall zu beobachten. Bei einem Partner (siehe Abb. 3) des Instituts für Internet-Sicherheit ist im Januar 2008 der RC4/MD5-Anteil 88%, AES/SHA1 nur knapp 10%.

Bei einem weiteren Partner, einem kleineren Internet-Service-Provider (ISP), liegen für das Jahr 2008 ebenfalls Statistiken (siehe Abb. 4) vor, doch auch hier sind die unsicheren Verfahren dominant. Der ISP wies zu 71% RC4/MD5, zu 23% AES/SHA1 und zu 5% Triple-DES/SHA1 auf.

Um zu erforschen, wie der hohe unsichere Verschlüsselungsanteil bei der Business-Firma zustande kommt, wird die Browserverteilung hinzu gezogen. Der Internet-Explorer 6, welcher nur unzureichende Verschlüsselungsverfahren aufweist, beträgt hier 44%. Da dies nicht den kompletten Anteil von 88% erklären, liegt die Vermutung nahe, dass die Web-Server vor Ort noch zahlreiche veraltete Software-Komponenten und -Konfigurationen aufweisen. Das erklärt auch, warum einige wenige Verbindungen mit einem leeren Session-Key „verschlüsselt“ werden. D.h. der Benutzer sieht in seinem Browser das Schloss, welches Sicherheit suggeriert, aber seine geheimen Daten werden dennoch im Klartext übermittelt.