Cyberkriminelle können mangelhafte Absicherungen ausnutzen
Kommunikation verlagert sich mit zunehmender Digitalisierung ins Internet: Anstatt anzurufen, wird eine Mail versendet, Termine beim Bürgeramt werden nicht mehr telefonisch oder vor Ort vergeben, sondern online. Manche deutschen Behörden führen schon diverse Dienste komplett online durch.
Gerade bei öffentlicher kritischer Infrastruktur wie Notfallsystemen muss die Sicherheit gewährleistet werden. Anwender*innen sollen schließlich geschützt sein. Die Arbeitsgruppe von Prof. Dr. Thomas Schmidt an der HAW Hamburg im Department Informatik fand nun heraus, dass viele dieser Anwendungen auf unsicheren Protokollen basieren oder wichtige Sicherheitsstandards nicht einhalten. Unter Protokoll versteht man in der Informatik einen standardisierten Regel- und Verfahrenssatz, der den strukturierten Datenaustausch zwischen Geräten gewährleistet.
Das Zusammenspiel unterschiedlicher Sicherheitslösungen
Zentrale Elemente für den Betrieb solcher Dienste sind Web-Public-Key-Infrastrukturen (Web-PKI) und das sogenannte Domain Name System (DNS). Das DNS ist ein weltweit auf Tausenden von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dadurch ermöglicht es das DNS, dass Websites und Dienste über bekannte Namen erreicht werden können. Um die Sicherheit von diesem System zu gewährleisten, können kryptografische Signaturen, also digitale Unterschriften, mit DNS-Einträgen verknüpft werden. Zusätzlich stellt die Web-PKI nicht nur digitale Zertifikate bereit, sondern bindet auch den Namen einer Website in deren Signatur ein.
Doch werden diese Sicherheitslösungen robust und zuverlässig eingesetzt? „Wir haben uns gefragt, was passiert, wenn sich jemand als offizielle Autorität ausgibt und falsche Katastrophenmeldungen verbreitet“, sagt Thomas Schmidt, Professor für Rechnernetze und Internettechnologien an der HAW Hamburg am Department für Informatik. Die Studie konzentriert sich auf verschiedene Sicherheitsmaßnahmen: Zum einen muss der Namensraum abgesichert werden, damit niemand unerlaubt einen Domänennamen im Internet übernehmen oder manipulieren kann. Zum anderen sollten die sicheren Zertifikate verwendet werden. Die Forschenden analysierten Websites von Behörden in den USA und Deutschland sowie offizielle Seiten der UN-Mitgliedsstaaten. „Die Ergebnisse sind insgesamt sehr ernüchternd“, sagt Schmidt. „Viele der Seiten haben kaum Sicherheitsvorkehrungen und die Absicherung ist oft minimal.“
Die Pandemie motivierte die Forschenden
„Die Arbeit dieser Studie wurde ursprünglich durch die COVID-19-Pandemie motiviert“, sagt Thomas Schmidt. Die Studie hat beispielsweise sogenannte Alerting Authorities analysiert. Dazu gehören in den Staaten zum Beispiel die Polizei, Feuerwehr und nationale Schutzbehörden. Sie betreiben Websites, auf denen sie Warnungen und Informationen für die Öffentlichkeit bereitstellen. „In den USA gibt es eine definierte Liste mit etwa 5000 Institutionen, die für den Katastrophenschutz zuständig sind. Wenn ihre Websites nicht ausreichend gesichert werden, könnten Angreifer gefälschte Warnungen verbreiten und damit Chaos verursachen“, sagt Schmidt.