| Forschung

Sicherheitslücken bei Webanwendungen aufgedeckt

Öffentliche Dienste und Sicherheitsbehörden nutzen Webanwendungen. Doch wie sicher sind sie? Prof. Dr. Thomas Schmidt hat es untersucht.

Thomas Schmidt, Professor für Rechnernetze und Internettechnologien an der HAW Hamburg

Immer mehr öffentliche Dienste und Sicherheitsbehörden sind auf Webanwendungen angewiesen. Aber wie sicher ist die Kommunikation im Netz? In der Studie „A Security Model for Web-Based Communication" hat sich die Arbeitsgruppe „Internet Technologies“ (iNET) von Prof. Dr.  Thomas Schmidt der HAW Hamburg gemeinsam mit der amerikanischen George Mason University, der Technischen Universität Dresden und dem Weizenbaum Institut Berlin genauer mit diesem Thema befasst. Die Ergebnisse sind jetzt als „Research Highlight“ in der renommierten „Communications of the ACM“ erschienen, einer der wichtigsten Fachzeitschriften der Informatik. 

„Wir haben uns gefragt, was passiert, wenn sich jemand als offizielle Autorität ausgibt und zum Beispiel falsche Katastrophenmeldungen verbreitet.“

Prof. Dr. Thomas Schmidt, Professor für Rechnernetze und Internettechnologien

Cyberkriminelle können mangelhafte Absicherungen ausnutzen
Kommunikation verlagert sich mit zunehmender Digitalisierung ins Internet: Anstatt anzurufen, wird eine Mail versendet, Termine beim Bürgeramt werden nicht mehr telefonisch oder vor Ort vergeben, sondern online. Manche deutschen Behörden führen schon diverse Dienste komplett online durch.

Gerade bei öffentlicher kritischer Infrastruktur wie Notfallsystemen muss die Sicherheit gewährleistet werden.  Anwender*innen sollen schließlich geschützt sein. Die Arbeitsgruppe von Prof. Dr. Thomas Schmidt an der HAW Hamburg im Department Informatik fand nun heraus, dass viele dieser Anwendungen auf unsicheren Protokollen basieren oder wichtige Sicherheitsstandards nicht einhalten. Unter Protokoll versteht man in der Informatik einen standardisierten Regel- und Verfahrenssatz, der den strukturierten Datenaustausch zwischen Geräten gewährleistet. 

Das Zusammenspiel unterschiedlicher Sicherheitslösungen 
Zentrale Elemente für den Betrieb solcher Dienste sind Web-Public-Key-Infrastrukturen (Web-PKI) und das sogenannte Domain Name System (DNS). Das DNS ist ein weltweit auf Tausenden von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dadurch ermöglicht es das DNS, dass Websites und Dienste über bekannte Namen erreicht werden können. Um die Sicherheit von diesem System zu gewährleisten, können kryptografische Signaturen, also digitale Unterschriften, mit DNS-Einträgen verknüpft werden. Zusätzlich stellt die Web-PKI nicht nur digitale Zertifikate bereit, sondern bindet auch den Namen einer Website in deren Signatur ein. 

Doch werden diese Sicherheitslösungen robust und zuverlässig eingesetzt? „Wir haben uns gefragt, was passiert, wenn sich jemand als offizielle Autorität ausgibt und falsche Katastrophenmeldungen verbreitet“, sagt Thomas Schmidt, Professor für Rechnernetze und Internettechnologien an der HAW Hamburg am Department für Informatik. Die Studie konzentriert sich auf verschiedene Sicherheitsmaßnahmen: Zum einen muss der Namensraum abgesichert werden, damit niemand unerlaubt einen Domänennamen im Internet übernehmen oder manipulieren kann. Zum anderen sollten die sicheren Zertifikate verwendet werden. Die Forschenden analysierten Websites von Behörden in den USA und Deutschland sowie offizielle Seiten der UN-Mitgliedsstaaten. „Die Ergebnisse sind insgesamt sehr ernüchternd“, sagt Schmidt. „Viele der Seiten haben kaum Sicherheitsvorkehrungen und die Absicherung ist oft minimal.“ 

Die Pandemie motivierte die Forschenden
„Die Arbeit dieser Studie  wurde ursprünglich durch die COVID-19-Pandemie motiviert“, sagt Thomas Schmidt. Die Studie hat beispielsweise sogenannte Alerting Authorities analysiert. Dazu gehören in den Staaten zum Beispiel die Polizei, Feuerwehr und nationale Schutzbehörden. Sie betreiben Websites, auf denen sie Warnungen und Informationen für die Öffentlichkeit bereitstellen. „In den USA gibt es eine definierte Liste mit etwa 5000 Institutionen, die für den Katastrophenschutz zuständig sind. Wenn ihre Websites nicht ausreichend gesichert werden, könnten Angreifer gefälschte Warnungen verbreiten und damit Chaos verursachen“, sagt Schmidt.

Wir brauchen ein Modell, das alle Aspekte der Websicherheit berücksichtigt, um sicherzustellen, dass besonders kritische Webpräsenzen besser geschützt sind.

Prof. Dr. Thomas Schmidt

Es braucht nicht nur technischen Maßnahmen
„Wir brauchen ein Modell, das alle Aspekte der Websicherheit berücksichtigt, um sicherzustellen, dass besonders kritische Webpräsenzen besser geschützt werden“, so Schmidt. Das in der Studie vorgestellte Modell soll die Sicherheitsanforderungen an Webanwendungen klarer definieren, damit überprüft werden kann, ob die notwendigen Schutzmaßnahmen auch tatsächlich angewendet werden. Dabei geht es nicht nur um technische Maßnahmen: Es geht um die Zusammenarbeit von Entwicklern, Betreibern und politischen Entscheidungsträgern.

Text: Helen Kemmler

Kontakt

Prof. Dr. Thomas Schmidt der HAW Hamburg
Department Informatik
Rechnernetze & Internettechnologien / Informatik

T +49 40 428 75-8452
t.schmidt (at) haw-hamburg (dot) de

x