10. Dezember 2014
Aktuelle Forschungen an einer belgischen und einer New Yorker Universität haben Erstaunliches zutage gebracht: Webseiten, die mit einem Sicherheitssiegel versehen sind und als besonders sicher gelten sollen, sind tatsächlich oft hochgradig unsicher.
Es gibt diverse Anbieter von Sicherheitssiegeln, bei denen man gegen eine jährliche Gebühr die Sicherheit seiner Webseite zertifizieren lassen kann. Die Anbieter führen auf den Web-Servern ihrer Kunden verschiedene Sicherheitstests durch, um die Angreifbarkeit zu prüfen. Besteht das System die Tests, erhält die Webseite das Siegel.
Die belgischen und amerikanischen Forscher haben einige als sicher zertifizierte Webseiten genauer unter die Lupe genommen und manuelle Sicherheitsprüfungen durchgeführt. Dabei stellte sich heraus, dass z.T. schwerwiegende Lücken bestanden. Die automatischen Tests der Siegel-Anbieter erkannten viele Sicherheitslecks nicht. Mehr noch: Bei einigen Online-Shops konnten die Forscher vor dem Kaufabschluss sogar die Preise der Produkte im Warenkorb verändern.
Um ihre Ergebnisse zu validieren, bauten die Forscher selbst eine Webseite mit zahlreichen, z.T. gravierenden Sicherheitsmängeln und kauften verschiedene Sicherheitssiegel. Alle Siegel-Anbieter fanden bei ihren Tests nur weniger als die Hälfte der vorhandenen Lücken.
Und noch etwas zeigte sich: Sicherheitssiegel stellen für die Webseiten, auf denen sie angebracht sind, paradoxerweise ein wirkliches Sicherheitsrisiko dar.
Hat eine Webseite ein Siegel erhalten, wird es als Icon in die Seite eingebunden und angezeigt. In der Folge führt der Siegel-Anbieter regelmäßig weitere Sicherheitschecks durch. Besteht die Seite spätere Tests nicht oder endet der Vertrag mit dem Anbieter, wird das Siegel aberkannt. Das Icon allerdings wird nicht komplett von der Seite entfernt, sondern nur unsichtbar gemacht.
Genau dieser Vorgang lässt sich leicht automatisiert überwachen und bietet potentiellen Angreifern geradezu ein Einfallstor. Denn: verschwindet ein Siegel optisch von einer Webseite, ist die Wahrscheinlichkeit hoch, dass sie gerade besonders angreifbar ist.
Meldet ein Angreifer nun noch selbst eine Seite für Sicherheitstests bei einem Siegel-Anbieter an, kann er auf seinem Web-Server genau sehen, welche Tests durchgeführt und welche Schwachstellen aufgedeckt werden. So erhält er Hinweise für gezielte Angriffsmöglichkeiten quasi auf dem Silbertablet.
Fragt sich nun, welchen Wert und welche Aussagekraft Sicherheitssiegel eigentlich haben. Nach diesen Ergebnissen sieht es so aus, als sollten sie Webseitenbesucher nicht in Sicherheit wiegen, sondern im Gegenteil zu ganz besonderer Vorsicht mahnen.
Quelle:
Webseiten-Siegel: Böses Omen statt Sicherheitsgarant (heise.de)