Studie deckt Schwachstellen auf
Informatiker der TU Dresden, der George Mason University in Fairfax (USA) und der HAW Hamburg erarbeiten ein Sicherheitsmodell für webbasierte Kommunikation.
Webentwickler und Dienstanbieter sind bei der Bereitstellung ihrer Software auf eine ganze Reihe von Protokollen, Diensten und Bibliotheken angewiesen. Oft werden die einzelnen Bausteine miteinander verknüpft. Dadurch schleichen sich Schwachstellen, Bugs, Malware und Datenlecks ein, die umso problematischer sind, je mehr kritische Infrastrukturen und Sicherheitsdienste von ihnen abhängen.
Ein Beispiel für wichtige Webdienste sind die Alerting Authorities (AAs) in den USA – Behörden, die befugt sind, die Öffentlichkeit zu alarmieren, wenn eine Katastrophe oder eine Bedrohung bevorsteht oder Menschen vermisst werden. Heute gibt es mehr als 1.600 Alarmierungsbehörden auf Bundes-, Landes-, Kommunal- und Territorialebene, die in ihrem Zuständigkeitsbereich wichtige öffentliche Warnungen herausgeben. Wie viele andere Notdienste sind auch die Alarmzentralen für ihre Kommunikation und ihren Betrieb auf das Internet angewiesen, um die Sicherheit im Land aufrechtzuerhalten.
Die unter Mitwirkung von Prof. Matthias Wählisch und Pouyan Fotouhi Tehrani, Professur für Distributed and Networked Systems an der Fakultät für Informatik der TU Dresden, veröffentlichte Studie zeigt besorgniserregende Sicherheitslücken in der Internetkommunikation dieser Alarmierungsbehörden, von deutschen Hilfsdiensten und Webseiten der Außenministerien von UN-Mitgliedstaaten auf. Etwa 46 Prozent der untersuchten Organisationen verwenden gemeinsam genutzte Zertifikate – ein Prozent aller Organisationen hat keine oder ungültige Zertifikate. Zwei Drittel der Organisationen sind nicht eindeutig identifizierbar, was die Grundvoraussetzung für eine vertrauenswürdige Kommunikation ist.
Damit kritische Dienste wie Alerting Authorities im Web funktionieren, sind Namen und Zertifikate notwendig. Beide Dienste, der Domain Name Service (DNS) für Namen und die Zertifikate selber, müssen vertrauenswürdig und sicher sein. Laut der Studie werden die zur Verfügung stehenden Sicherheitsmechanismen aber nur unzureichend genutzt. Angreifer können damit einen Webdienst vorgeben, ohne dass der Nutzer die Richtigkeit ausreichend überprüfen kann.
Die veröffentlichte Studie verifiziert eine enorme Anzahl an Webseiten von Alerting Authorities, die über verschiedene Ressourcen verstreut sind. Die Studie basiert auf sehr sorgfältig durchgeführten Internet-Messungen und bietet dadurch einen wertvollen Datensatz für die Analyse des Domain-Namensraums und der Web-PKI. Die Ergebnisse über Sicherheitsprofile und Schwachstellen wurde den Behörden mitgeteilt, um sie für Verbesserungen zu sensibilisieren. Das vorgeschlagene Sicherheitsmodell verallgemeinert die Erkenntnisse, sodass die Überprüfung zukünftig algorithmisch möglich ist.
„Unsere Studie betrifft alle Länder, in denen ähnliche Systeme für öffentliche Notfallwarnungen eingeführt wurden und das World Wide Web im Allgemeinen“, erklärt Prof. Matthias Wählisch. „Wir wollen erreichen, dass die Sicherheitslage im Web zukünftig automatisiert kommunizierbar ist, sowohl für Laien als auch Experten.“
