Menü
Lübecker Nachrichten | Ihre Zeitung aus Lübeck
Anmelden
Digital Web-Schwachstelle: Forscher erstellen falsche Webzertifikate
Nachrichten Digital Web-Schwachstelle: Forscher erstellen falsche Webzertifikate
Partner im Redaktionsnetzwerk Deutschland
13:23 12.09.2018
Experten des Fraunhofer-Instituts konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten. Quelle: Ralf Hirschberger/illustration
Berlin

Forscher aus Darmstadt haben eine Sicherheitslücke im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können.

Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten.

Der Angriff sei möglich geworden, indem eine Schwachstelle in der Domainänvalidierung ausgenutzt werden konnte, erklärten die Forscher. Sie forderten, die Sicherheit von Internet-Infrastruktur dringend zu verbessern.

Webzertifikate sollen eigentlich vertrauenswürdige Seiten auszeichnen. Sie bilden die Grundlage des sogenannten SSL-/TLS-Protokolls, das die meisten Internetseiten schützt. Die Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Gängige Web-CAs verwenden demnach eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein entsprechendes Zertifikat ausstellen.

Mit der Aktion sei nun gezeigt worden, dass die Domain Validation grundsätzlich fehlerhaft sei. „Folglich können viele Web-CAs getäuscht werden, so dass sie falsche Zertifikate ausgeben“, hieß es. Das sei besonders für Cyberkriminelle interessant. Sie könnten Angriffe auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten, beispielsweise für einen bekannten Online-Händler. Die Kriminellen müssten dann nur noch eine Website einrichten, „die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen“.

Eine besondere Ausrüstung sei für die Aktion der Forscher nicht nötig gewesen: „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung“ erklärte Haya Shulman vom Fraunhofer SIT. „Man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung.“ Die Schwachstelle sei zwar grundsätzlich bekannt gewesen - aber habe als in der Praxis kaum ausnutzbar gegolten.

Nach dem Angriff informierte das Fraunhofer SIT die deutschen Sicherheitsbehörden und Web-CAs. Zudem sei zur Abschwächung der Sicherheitslücke eine verbesserte Version der Domain Validation entwickelt worden.

dpa

Kommentare 0 Nutzungsbedingungen
Die Debatte geht am Morgen weiter
Die Kommentarfunktion ist zwischen 22:00 und 07:00 Uhr nicht aktiv – denn wir wollen eine gute Moderation der Beiträge gewährleisten.
Wir freuen uns am Morgen über Ihre konstruktiven Beiträge zum Thema!

Das iPhone ist das wichtigste Apple-Produkt. Entsprechend groß ist die Aufmerksamkeit für das jährliche September-Event, bei dem traditionell die neuen Modelle vorgestellt werden. Diesmal wird unter anderem mit größeren Displays gerechnet.

12.09.2018
Digital Shadow of the Tomb Raider - Lara Croft ist zurück

Angezogener und erwachsener gibt sich die neue Ausgabe der Actionheldin. Immerhin muss Lara Croft in „Shadow of the Tomb Raider“ nichts Geringeres vollbringen, als die Maya-Apokalypse abzuwenden.

11.09.2018

Im Juni hatte der Europäische Gerichtshof entschieden, dass Betreiber von Fanseiten auf Facebook für den Datenschutz mitverantwortlich sind. Nun hat Facebook auch seine Regeln angepasst.

11.09.2018