Unsere Daten sollen mittels Verschlüsselung sicher durch die verschiedenen Knotenpunkte im Internet geleitet werden, ohne das Fremde mitlesen. Dabei spielt es keine Rolle ob es sich um staatliche Stellen oder Angreifer handelt. Doch genau hier gibt es scheinbar Probleme, denn viele Seiten unterstützen alte und gebrochene Standards.
Jeder Online-Banking-Nutzer sollte beim Einloggen auf die SSL-Verschlüsselung achten. Das geht für den Durchschnittsbenutzer verhältnismäßig einfach, es muss drauf geachtet werden, dass in der Adresszeile des Browsers ein „https“ vor der Adresse steht und ein kleines Schlosssymbol ohne Warnmeldung an der entsprechenden Stelle im Browser angezeigt wird. Damit sollte groben Phishing-Versuchen Einhalt geboten werden. Aber bei dem umfangreichen Thema der Verschlüsselung gibt es trotz aktiviertem Schutz viele Parameter, die den Grad der Sicherheit festlegen.
Vor einiger Zeit testete der heise Verlag die Verschlüsselung des BSI (Bundesamt für Sicherheit in der Informationstechnik) und kam zu dem Ergebnis, dass die Seiten diverse alte Cipher Suites, eine standardisierte Sammlung kryptografischer Algorithmen, unterstützt. Das sogenannte RC4-Verschlüsselungsverfahren kann beispielsweise von der NSA in Echtzeit geknackt werden.
Aber nicht nur der BSI ist betroffen, sondern auch viele Firmen, Banken, Ämter und weitere Online-Dienste. Das Problem an diesem Sachverhalt ist, dass der Browser des Benutzers und der Server des Anbieters sich ohne Nachfrage auf ein Transportverfahren (Protocol) und Verschlüsselungstechnik (Cipher) einigen. Dabei kann es zu der Verwendung eines unsicheren Standards kommen. Der Benutzer hat in den gängigen Browsern kaum eine Möglichkeit veraltete Standards gezielt zu deaktivieren.
Viele Anbieter unterstützen auf Grund alter Betriebssysteme bei den Endverbrauchern diese alten Standards. Allerdings sind nicht nur die Anbieter schuld, sondern auch die Entwickler der Browser. Der als relativ sicher geltende Mozilla Firefox unterstützt lediglich das 1999 verabschiedete TLS 1.0- Protokoll und hinkt der Zeit gewaltig hinterher. Im Jahr 2006 wurde TLS1.1 als neuer Standard vorgestellt und 2008 wurden alte und unsichere Standards offiziell mit TLS1.2 nicht mehr unterstützt. Warum Firefox weder TLS1.1, noch TLS1.2 spricht ist nach den Spionageskandalen weiter ein Rätsel.
In TLS1.2 wird beispielsweise die „Perfect Forward Secrecy“ unterstützt, bei der ein Schlüsselaustausch zwischen Browser und Server zur Verschlüsselung der Daten besser gesichert wird, sodass abgefangene Daten nicht im Nachhinein entschlüsselt werden können.