Lade Login-Box.
Topthemen: Freies Wort hilftFolgen Sie uns auf InstagramSport-Tabellen

Computer

Web-Schwachstelle: Forscher erstellen falsche Webzertifikate

Forscher aus Darmstadt haben eine Sicherheitslücke im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können.



Cybersicherheit
Experten des Fraunhofer-Instituts konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten als echte herausgeben könnten.   Foto: Ralf Hirschberger

Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten.

Der Angriff sei möglich geworden, indem eine Schwachstelle in der Domainänvalidierung ausgenutzt werden konnte, erklärten die Forscher. Sie forderten, die Sicherheit von Internet-Infrastruktur dringend zu verbessern.

Webzertifikate sollen eigentlich vertrauenswürdige Seiten auszeichnen. Sie bilden die Grundlage des sogenannten SSL-/TLS-Protokolls, das die meisten Internetseiten schützt. Die Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Gängige Web-CAs verwenden demnach eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein entsprechendes Zertifikat ausstellen.

Mit der Aktion sei nun gezeigt worden, dass die Domain Validation grundsätzlich fehlerhaft sei. «Folglich können viele Web-CAs getäuscht werden, so dass sie falsche Zertifikate ausgeben», hieß es. Das sei besonders für Cyberkriminelle interessant. Sie könnten Angriffe auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten, beispielsweise für einen bekannten Online-Händler. Die Kriminellen müssten dann nur noch eine Website einrichten, «die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen».

Eine besondere Ausrüstung sei für die Aktion der Forscher nicht nötig gewesen: «Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung» erklärte Haya Shulman vom Fraunhofer SIT. «Man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung.» Die Schwachstelle sei zwar grundsätzlich bekannt gewesen - aber habe als in der Praxis kaum ausnutzbar gegolten.

Nach dem Angriff informierte das Fraunhofer SIT die deutschen Sicherheitsbehörden und Web-CAs. Zudem sei zur Abschwächung der Sicherheitslücke eine verbesserte Version der Domain Validation entwickelt worden.

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
12. 09. 2018
15:45 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Fraunhofer-Gesellschaft Sicherheitslücken Wissenschaftlerinnen und Wissenschaftler
Diesen Artikel teilen / ausdrucken


 
Mehr zum Thema
Forschungsministerin

17.05.2019

Neue Initiative für abhörsicheres Quanteninformationsnetz

Die Bundesregierung will die Quanten-Forschung in Deutschland und Europa massiv voranbringen. Vor allem für eine abhörsichere Kommunikation sollen die Erkenntnisse dienen. Ein erstes Projekt erhält jetzt eine kräftige An... » mehr

Biometrische Sicherung im Alltag

14.08.2019

Mehr als eine Million Fingerabdrücke offen im Netz

Fingerabdrücke und andere biometrische Merkmale sind als Zugangsdaten besonders sensibel, weil man sie bei einem Dateneinbruch im Gegensatz zu einem Passwort nicht einfach ändern kann. Nun ist ein gigantisches Datenleck ... » mehr

Apple-Logo

09.08.2019

Apple zahlt bis zu eine Million Dollar für Sicherheitslücken

Für Apple ist die Datensicherheit seiner Geräte ein wichtiges Verkaufsargument - doch jede komplexe Software hat Schwachstellen. Der Konzern zahlt jetzt höhere Prämien, damit die entdeckten Lücken bei ihm landen - und ni... » mehr

Intel

07.08.2019

Neue Sicherheitslücke bei Intel-Chips gestopft

Es ist schon eineinhalb Jahre her, dass eine gravierende Sicherheitslücke im Design moderner Prozessoren vor allem von Intel die Computerindustrie erschütterte. Aber auch jetzt werden noch neue Angriffswege bekannt. » mehr

Hacker

05.08.2019

Gravierende Schwachstelle in Server-Technik entdeckt

Sicherheitsrisiko für Unternehmen und Verbraucher: Bei vielen Servern gibt es eine Sicherheitslücke, über die zum Beispiel Login-Daten abgefischt werden können. Auch Bankkunden könnten betroffen sein. » mehr

Betriebssystem Windows 7

14.07.2019

Support-Ende für Windows 7 - Ein Software-Dino verschwindet

Es hat schon einige Jahre auf dem Buckel - nun kommt das Ende des Supports für Windows 7 in Sicht. Danach drohen Nutzern klaffende Sicherheitslücken. Die Zeit läuft. » mehr

Bildergalerie » zur Übersicht

Helge Schneider im Naturtheater Steinbach-Langenbach Steinbach-Langenbach

Helge Schneider in Steinbach-Langenbach | 25.08.2019 Steinbach-Langenbach
» 34 Bilder ansehen

Unwetter bei Erlau im Landkreis Hildburghausen Erlau

Unwetter Erlau | 25.08.2019 Erlau
» 9 Bilder ansehen

Tag der Gesundheit Schmalkalden-Meiningen

25 Jahre Landkreis Schmalkalden-Meiningen | 24.08.2019 Schmalkalden-Meiningen
» 62 Bilder ansehen

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
12. 09. 2018
15:45 Uhr



^