GLOBALTRUST Certification ServiceQualified Certificate AuthorityComing Soon! Akkreditiert durch RTR gemäß SigG
 
2003/02/26 Unsichere SSL-Verbindungen - Ernüchternde Bilanz
SSL-Sicherheitslücke bleibt bei österreichischen Unternehmen ohne Reaktionen - Kaum Updates durchgeführt - Konsumenten werden irregeführt - Fehlende Updates stellen grobe Fahrlässigkeit dar - Geschäftsführer haften für Schäden - ARGE DATEN bietet kostenloses monitoring an - Österreichische IT-Szene kann Aufmarschfeld für CyberWar werden

SSL Sicherheitslücke wurde nicht geschlossen

Wie am 20.2.2003 bekannt wurde, hatten Schweizer Forscher bei der populären SicherheitsSoftware OpenSSL eine Schwachstelle entdeckt. Die ARGE DATEN berichtete darüber. Durch diese Schwachstelle ist es möglich, Benutzerkennung und Paßwort auszuspähen.

SSL (auch als https bzw. secure-Server bekannt) erlaubt die verschlüsselte Übertragung von Bestell- und Finanzinformationen zwischen Kunden und e-commerce-Anbietern und ist notwendige Voraussetzung für Online-Shopping.

Grundsätzlich ist eine derartige Sicherheitslücke kein Problem, wenn Systembetreiber laufend die neuersten Programmversionen installieren und Sicherheitspflege betreiben.

Hans G. Zeger: 'Der Vorfall war Grund genug für uns, gezielt das Verantwortungsbewußtsein der IT-Administratoren zu hinterfragen. In einer Stichprobe wurden die aktuellen Versionen von 130 Secureservern, die wiederum rund 450 e-commerce-Lösungen betreuen, zu überprüfen.'

Bewußt wurden nur Secure-Server zur Prüfung herangeogen, die über offizielle Homepages verlinkt sind und bei denen e-commerce-Angebote existieren. 'Zufallsinstallationen', bei denen neben dem normalen Server auch ein SSL-Server läuft, aber nicht benutzt wird, blieben in dieser Auswertung unberücksichtigt.

73 Betreiber verwenden Apache-Server, 30 Microsoft IIS-Server, openSSL vewenden 38 dieser analysierten Server. Ab Version '0.9.6i' gilt openSSL als sicher, daher wurde diese Version als Maßzahl für einen vertrauenswürdigen Serverbetrieb herangezogen.

Hans G. Zeger: 'Das Ergebnis war wider Erwarten mehr als ernüchternd. Alle 38 Server verwenden alte, unsichere Versionen, teilweise werden Uralt-Installationen gefahren.'

Es handelt sich dabei zum Teil um sehr bekannte Branchenführer, etwa aus der Tourismus- oder Telekom-Branche.

Theoretisch könnten auch die Sicherheitslücken ohne Updates 'gestopft' werden, dies widerspricht jedoch der langjährigen Erfahrung. Verantwortungsbewußte Systemadministratoren nutzen derartige Vorfälle meist, sofern verfügbar, zum Update des Systems und begnügen sich nicht mit dem Installieren von 'Flicken' (Patches).

Leider bedeutet das Ergebnis nicht, dass die anderen 92 geprüften SSL-Server automatisch sicher sind. Auch hier wurden in vielen Fällen veraltete Installationen gefunden.

Hans G. Zeger: 'Wir rechnen, das österreichweit etwa 500-1000 SSL-Server laufen, also Systeme, die von Konsumenten als besonders vertrauenswürdig eingestuft werden. Rund 50% müssen als mittel bis stark unsicher gelten und sind für e-commerce-Anwendungen ungeeignet.'


Konsumenten werden irregeführt - Warnliste wird veröffentlicht

Die Unternehmen haben noch eine weitere Woche Zeit ihre Updates durchzuführen, anschließend wird die ARGE DATEN ihren Mitgliedern eine Warnliste der unsicheren e-commerce-Betreiber zur Verfügung stellen.

Hans G. Zeger: 'Für Konsumenten ist SSL eine 'TRADEMARK' für vertrauenswürdige Verbindungen. Fehlende Updates, veraltete und ungeeignete Web-Server machen jedoch alle Sicherheitsbemühungen zunichte.'

Systemadministratoren, die nicht zeitgerecht Updates durchführen, gaukeln den Kunden Sicherheit vor, die gar nicht existiert. Der durchschnittliche Internetbenutzer kann diese Fehlkonfigurationen in den meisten Fällen gar nicht erkennen. Er muß der Sorgfalt der Betreiber vertrauen.


Tatbestand der groben Fahrlässigkeit gegeben

Es ist eine Binsenweisheit, das es keine absolut sicheren IT-Systeme gibt. Umso mehr sind Betreiber dafür verantwortlich, dass bekannte Sicherheitsprobleme rasch und effizient geschlossen werden. Schon in einem OGH-Urteil aus 1990(!) wurde festgestellt, dass die Haftung für fehlende Sicherheitsmaßnahmen eindeutig bei der Geschäftsleitung liegt (OGH 9 Ob A 182/90).

Hans G. Zeger: 'Eine Woche ist sicher eine ausreichende Zeitspanne um die relativ einfachen Updates durchzuführen bzw. die dazugehörigen Anweisungen zu geben. Sollte einem Benutzer eines nicht aktualisierten Systems ein Schaden durch eine Fehlbstellung, eine Fehltransaktion oder durch die Veröffentlichung von Daten entstehen, würde der Betreiber in einen erheblichen Erklärungsnotstand kommen.'

Konsumenten könnten bei diesen Systemen erfolgreich argumentieren, dass Benutzerkennungen nicht durch ihr Verhalten weitergegeben wurden, sondern durch den fahrläsigen Betrieb des Servers.


ARGE DATEN bietet kostenloses monitoring an

Im Rahmen der Zertifizierungs- und Mitglieder-Services kann jeder Konsument, aber auch jeder Betreiber ein kostenloses Monitoring in Anspruch nehmen.

Es genügt die Bekanntgabe der entsprechenden URL (des entsprechenden Servers) der überwacht werden soll.

Hans G. Zeger: 'Dieses Service kann natürlich auch keine endgültige Garantie gegen Datenmißbrauch darstellen, aber es ermöglicht Benutzern und Betreibern einen ersten Überblick über Gefahrenstellen und erinnert sie an Sicherheitsupdates bei bekannten Lücken.'

Die Dienstleitung ist system- und providerunabhängig und wird laufend ausgebaut. Voraussetzung ist lediglich eine gültige Mitgliedschaft bei der ARGE DATEN oder die Nutzung eines A-CERT- oder e-rating-Zertifikats.


Österreich als Aufmarschfeld für CyberWar

Meist werden die Bedrohungsbilder terroristischer Cyber- und Internet-Attacken hochgespielt und dienen den Sicherheitsbehörden und Geheimdiensten als bequemes Argument für mehr Bürgerüberwachung.

Hans G. Zeger: 'Tatsächlich steckt jedoch in diesen Szenarien ein Funken Wahrheit. Praktisch alle österreichischen Unternehmen und Behörden sind für kriminelle und staatliche Cyberkrieger zu uninteressant und daher keine direkten Angriffsziele. Schlecht gewartete und unsichere Systeme können aber als Zwischenstationen für Angriffe an große internationale Konzerne dienen.'

Damit können Computer österreichischer Unternehmen und Privatpersonen zu Vorposten der elektronischen Kriegsführung werden. Es ist daher umso wichtiger, dass laufend alle bekannten Lücken geschlossen werden.


Die angezeigten Informationen sind ausschliesslich zur persönlichen Nutzung im Rahmen der Zertifizierungsdienste bestimmt. Beachten Sie die gültige Certificate Policy. GLOBALTRUST® ist die EU-weit registrierte Marke zur Erbringung von Zertifizierungsdiensten. Die angebotenen Zertifizierungsdienste werden gemäß Signaturgesetz betrieben. Die Verwendung der GLOBALTRUST® Logos ist nur Inhabern von gültigen GLOBALTRUST® Zertifikaten oder nach ausdrücklicher schriftlicher Genehmigung gestattet. Irrtum vorbehalten.

GLOBALTRUST® / A-CERT 2002-2019powered by e-commerce monitoring gmbh  impressum/DSGVO  agb  webmaster
E131, fiskaltrust, RKS-CARD, Registrierkassensicherheitsverordnung, RKSV, Identitymanagement, E-Identity, Privacy, Informationsrecht, Datensicherheit, elektronische Signatur, digitale Signatur, Österreich, Austria, Wien, Vienna, Internet, Telekommunikation, Zertifizierung, Zertifizierungsdienst, Certified, Trust, Certification Authority, CA, Cloud Computing, e-government, e-commerce, Identität, phishingdata protection, privacy, data security, data safety, Inhouse, data protection officer, Austria, Vienna, internet, telecommunication, personal data, data retention, privacy protection, privacy protect