HOME

Fraunhofer-Institut: Web-Schwachstelle: Forscher erstellen falsche Webzertifikate

Berlin - Forscher aus Darmstadt haben eine Sicherheitslücke im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können.

Cybersicherheit

Experten des Fraunhofer-Instituts konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten. Foto: Ralf Hirschberger/Illustration

Forscher aus Darmstadt haben eine im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können.

Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten.

Der Angriff sei möglich geworden, indem eine Schwachstelle in der Domainänvalidierung ausgenutzt werden konnte, erklärten die Forscher. Sie forderten, die Sicherheit von Internet-Infrastruktur dringend zu verbessern.

Webzertifikate sollen eigentlich vertrauenswürdige Seiten auszeichnen. Sie bilden die Grundlage des sogenannten SSL-/TLS-Protokolls, das die meisten Internetseiten schützt. Die Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Gängige Web-CAs verwenden demnach eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein entsprechendes Zertifikat ausstellen.

Mit der Aktion sei nun gezeigt worden, dass die Domain Validation grundsätzlich fehlerhaft sei. «Folglich können viele Web-CAs getäuscht werden, so dass sie falsche Zertifikate ausgeben», hieß es. Das sei besonders für Cyberkriminelle interessant. Sie könnten Angriffe auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten, beispielsweise für einen bekannten Online-Händler. Die Kriminellen müssten dann nur noch eine Website einrichten, «die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen».

Eine besondere Ausrüstung sei für die Aktion der Forscher nicht nötig gewesen: «Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung» erklärte Haya Shulman vom Fraunhofer SIT. «Man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung.» Die Schwachstelle sei zwar grundsätzlich bekannt gewesen - aber habe als in der Praxis kaum ausnutzbar gegolten.

Nach dem Angriff informierte das Fraunhofer SIT die deutschen Sicherheitsbehörden und Web-CAs. Zudem sei zur Abschwächung der Sicherheitslücke eine verbesserte Version der Domain Validation entwickelt worden.

dpa
Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.