rating service  security service privacy service
 
2003/02/20 WARNUNG! Unsichere SSL-Verbindungen möglich!
Computerexperten aus der Schweiz haben nach eigenen Angaben eine Lücke in dem populären SSL-Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt - Täglich 11 neue Angriffstellen gefunden - laufendes Update von WEB-Servern notwendig - e-commerce-Betreibern kommt verstärkte Informations- und Aufklärungspflicht zu

SSL Sicherheitslücke gefunden

Computerexperten aus der Schweiz haben nach eigenen Angaben eine Lücke in dem populären SSL-Übertragungsprotokoll für sichere Internet-Transaktionen entdeckt. Den Fachleuten der Polytechnischen Hochschule von Lausanne (EPFL) sei es gelungen, eine Schwachstelle im so genannten Secure Socket Layer-Protokoll (SSL) zu finden. Damit habe man das Benutzer-Passwort, das ein Internet- Anwender im Zusammenhang mit
e-commerce oder beim Online-Zugriff auf sein Bankkonto benötigt, in weniger als einer Stunde knacken können, hieß es in einer Mitteilung der EPFL vom Donnerstag.

Betreiber von OpenSSL-Servern wird daher dringend empfohlen das Update durchzuführen (Links siehe unten).


Sicherheitslücke kein ungewöhnliches Ereignis

Grundsätzlich ist das Auftauchen eines derartigen Ereignisses nicht ungewöhnlich, weltweit sind Forschergruppen, Privatiniativen oder auch wohlwollende Hacker permanent auf der Suche nach Schwachstellen in den Betriebssystemen, bei den Übertragungsprotokollen und bei der Serversoftware. Nach Berichten von CERT werden im Schnitt TÄGLICH (!!) 11 neue Angriffsmöglichkeiten auf die Internet-Infrastruktur entdeckt.

Daraus ergibt sich eine permanente Vorsorge- und Überwachungspflicht der e-commerce-Betreiber für ihre Systeme. Zu den meisten Lücken, wie dem nun bekannt gewordenen SSL-Problem, existieren Patches, Softwareupdates, die die Lücke wieder schließen.

Das Problem beginnt jedoch damit, dass viele e-commerce-betreiber nicht oder nicht zeitgerecht diese Patches installieren und damit breite Angriffsmöglichkeiten schaffen. Bis zu 30% der betriebenen Systeme, so verschiedene Studien, unterlassen es die notwenditgen Updates durchzuführen.

Hans G. Zeger: 'Auch nach unseren Beobachtungen sind zum Teil jahrelang bekannte Sicherheitslücken bei e-commerce-Anbietern nicht behoben.'

Die meisten der in der Öffentlichkeit bekannt gewordenen spektakulären Angriffe nutzen schlicht das fahrlässige Verhalten von Systembetreibern aus.


WISSEN - was bedeutet SSL für den Internet-Benutzer?

Sicherheitslücken im SSL-Protokoll haben ganz besonders gravierende Auswirkungen. SSL wird für den vertraulichen Datenverkehr zwischen e-commerce-Betreibern und Benutzern verwendet. Über SSL-Verbindungen werden Kreditkartennummern übertragen, Banktransaktionen durchgeführt, Benutzerkennungen und Paßwort ausgetauscht, Gesundheits- und Steuerdaten übertragen.

Hans G. Zeger: 'SSL bzw. die URL-Bezeichnung 'https' wird von vielen Internetlaien als Synonym für sicheren Datentransfer angesehen. SSL gilt als Trademark für Vertrauenswürdigkeit.'

Tatsächlich ist aber SSL nur ein Protokoll das richtig oder falsch implementiert werden kann. Diese Installation liegt jedoch in der Verantwortung jedes einzelnen e-commerce-Betreibers.


Aufklärungspflicht dem Internet anpassen - ein Projekt der ARGE DATEN

Wer bekannte Sicherheitslücken nicht oder verspätet behebt, handelt fahrlässig, meist wohl sogar grob fahrlässig. Unangenehm für den Internet-Laien ist jedoch, dass er mit seinen üblichen Mitteln (Internet-Zugang, Internetbrowser in Windows-Umgebung) nicht erkennen kann, ob ein e-commerce-Betreiber sorgfältig arbeitet order nicht, ob die Verbindung tatsächlich sicher hergestellt ist oder nicht.

Der e-commerce-Betreiber ist dazu jedoch in der Lage. Er ist imstande nicht nur sein eigenes System laufend dem Stand der Technik anzupassen, sondern er hat auch alle Informationen und Hilfsmittel, zu erkennen, ob von der bestimmten Verbindung oder vom System des Kunden eine Gefährdung ausgehen kann. Bei jeder einzelnen Internetbanking-Transaktion oder bei jeder Online-Bestellung könnte der aktuelle Sicherheitsstatus festgestellt und dem Kunden mitgeteilt werden. Das Internet stellt bei jedem Verbindungsaufbau eine Fülle von Informationen zur Verfügung, die richtig interpretiert, auch dem Benutzer helfen können, zu erkennen ob er sicher oder unsicher im Internet unterwegs ist.

Hans G. Zeger: 'Die geeignete Aufbereitung dieser Verbindungsinformaitonen erfordert umfassendes Knowhow, das bei vielen e-commerce-Betreibern nicht ausreichend vorhanden sein muß, das enthebt sie jedoch nicht der Verpflichtung aktiv zu werden.'

Die ARGE DATEN hat daher im Rahmen von e-rating.at ein Projekt begonnen, das diese spezialisierten Informationen allgemein aufbereitet und jeden e-commerce-Betreiber, jede Internetbank dazu befähigt, diesen neuen Informations- und Aufklärungspflichten nachzukommen.

Hans G. Zeger: 'Nach unseren Kalkulationen genügt ein EURO (!!) pro e-commerce-Kunde und Jahr um eine Informationsinfrastruktur zu schaffen und zu betreiben, die maximale Transparenz für Betreiber und Internet-Teilnehmer ermöglicht. Wir laden daher alle verantwortungsbewußten e-commerce-Betreiber ein, an diesem Projekt teilzunehmen.'

Die - in Hinblick auf die Bedeutung des Internet - vergleichsweise geringfügigen Kosten sind durch Bündelung der Ressourcen, aber auch durch Beschränkung auf das Machbare möglich. Das Ziel ist nicht die Verhinderung jedes nur denkbaren Angriffs, das wird niemals möglich sein, sondern maximale Transparenz und Vertrauenswürdigkeit auch für den Internet-Laien.



mehr --> http://www.e-rating.at
andere --> http://www.openssl.org/news/secadv_20030219.txt
andere --> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078
andere --> http://lasecwww.epfl.ch/memo_ssl.shtml

- DSR - DVR - privacy-day.at - Cloud Computing - datenschutz tag - hacker - Whistleblowing - RFID - social media - Web2.0 - DSG 2000 - Identität - data security - Inhouse - internet
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2020 Information gemäß DSGVOwebmaster