Kommentar: Zur Sicherheit von Webseiten - Vertrauen ist alles

 Wenn wir über die Sicherheit von Webseiten sprechen, was ist dann grundlegend? Vertrauen! Wenn wir uns an die Anfänge des Internets zurückerinnern, gab es nichts, was eine Webseite identifizierte und bestätigte. Darüber hinaus hatten Anwender auch keine Möglichkeit herauszufinden, ob überhaupt irgendeine Form von Sicherheit oder Datenschutz bestand. Dann wurden digitale Zertifikate entworfen, die dem Nutzer anzeigten, ob eine Webseite auch wirklich die war, für die sie sich ausgab.

Noch dazu kam eine Verschlüsselung, um die Kommunikation mit der Webseite vor anderen Dritten verbergen zu können. Dahinter steht die Technologie hinter dem Symbol mit dem grünen Schloss (Padlock icon) im Browsermenü, die uns die Sicherheit garantierte. Cyber-Kriminelle versuchen nun dieses im Grunde genommen „blinde Vertrauen“ in dieses grüne Schloss auszunutzen. Beispiele dafür lassen sich seit wenigen Jahren vermehrt in einschlägigen Medien finden. Die Sicherheitsfirma Trend Micro deckte im Januar eine Malvertising-Kampagne auf, die kostenlose Let’s Encrypt-Zertifikate in Verbindung mit dem Angler Exploit Kit nutzte, um Anwender auf die Webseiten mit der Malware weiterzuleiten.

Die Cyber-Kriminellen hatten Subdomains unter legitimen Domains kreiert und diese auf eigenen Servern gehostet. Der Traffic zu den Subdomains wurde mit HTTPS und Let’s Encrypt Zertifikaten geschützt. Das Problem ist hier, dass Let’s Encrypt als sogenannte Certificate Authority (CA) diesen Missbrauch ihrer Zertifikate nicht nachverfolgt.

Nach einer Studie von Dell aus 2015 steigen die Versuche von Kriminellen mit Hilfe von SSL/TLS Verschlüsselungen vermehrt traditionelle Sicherheitsmaßnahmen zu umgehen. Dadurch werden Maßnahmen wie Intrusion Detection- und Intrusion Protection-Systeme obsolet. Server und Sicherheitsanwendungen vertrauen Zertifikaten ebenso blind wie das Internet selbst.

Ein anderes Beispiel ist der Sicherheitsvorfall bei der Xbox Live Webseite zum Ende des letzten Jahres, hier war wiederum ein Zertifikat die Ursache. Microsoft warnte seine Anwender davor, dass mit dem Zertifikat eventuell Man-in-the-Middle-Angriffe ausgeführt hätten können. Bislang ist noch kein Vorfall bekannt geworden, der diese Befürchtungen bestätigt hat, jedoch wird deutlich, wie wichtig kryptographische Schlüssel und digitale Zertifikate für die Internetsicherheit sind.

Je mehr wir nun auf Verschlüsselung setzen, kommt das Problem, dass wir im Grunde genommen keine Kontrolle über Schlüssel und Zertifikate haben, zum Tragen. Nur wenn wir dieses zentrale Problem der Webseitensicherheit in den Griff bekommen und zwar mit der richtigen und nicht irgendeiner Lösung, dann sind wir auch hier im 21. Jahrhundert angekommen. Letztlich geht es darum, dass wir das Vertrauen in diesen zentralen Baustein des Internets wiederherstellen müssen. Nur dann können Online-Shopper weiter gefahrlos einkaufen und können auch bürgernahe Dienste digitalisiert werden.

Autor: Kevin Bocek (im Bild), VP Security Strategy bei Venafi

(jm)

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags