Lade Login-Box.
Topthemen: Video: Hof im Radwege-CheckHof-GalerieStromtrasse durch die RegionGerch

Computer

Web-Schwachstelle: Forscher erstellen falsche Webzertifikate

Forscher aus Darmstadt haben eine Sicherheitslücke im Internet offengelegt, durch die in vermeintlich geschützten Online-Verbindungen wertvolle Daten wie Passwörter abgegriffen werden können.



Cybersicherheit
Experten des Fraunhofer-Instituts konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten als echte herausgeben könnten.   Foto: Ralf Hirschberger

Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT konnten nach eigenen Angaben falsche Webzertifikate erstellen, durch die sich gefälschte Webseiten für echte herausgeben könnten.

Der Angriff sei möglich geworden, indem eine Schwachstelle in der Domainänvalidierung ausgenutzt werden konnte, erklärten die Forscher. Sie forderten, die Sicherheit von Internet-Infrastruktur dringend zu verbessern.

Webzertifikate sollen eigentlich vertrauenswürdige Seiten auszeichnen. Sie bilden die Grundlage des sogenannten SSL-/TLS-Protokolls, das die meisten Internetseiten schützt. Die Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Gängige Web-CAs verwenden demnach eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein entsprechendes Zertifikat ausstellen.

Mit der Aktion sei nun gezeigt worden, dass die Domain Validation grundsätzlich fehlerhaft sei. «Folglich können viele Web-CAs getäuscht werden, so dass sie falsche Zertifikate ausgeben», hieß es. Das sei besonders für Cyberkriminelle interessant. Sie könnten Angriffe auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten, beispielsweise für einen bekannten Online-Händler. Die Kriminellen müssten dann nur noch eine Website einrichten, «die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen».

Eine besondere Ausrüstung sei für die Aktion der Forscher nicht nötig gewesen: «Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung» erklärte Haya Shulman vom Fraunhofer SIT. «Man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung.» Die Schwachstelle sei zwar grundsätzlich bekannt gewesen - aber habe als in der Praxis kaum ausnutzbar gegolten.

Nach dem Angriff informierte das Fraunhofer SIT die deutschen Sicherheitsbehörden und Web-CAs. Zudem sei zur Abschwächung der Sicherheitslücke eine verbesserte Version der Domain Validation entwickelt worden.

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
12. 09. 2018
15:45 Uhr

Für »Meine Themen« verfügbare Schlagworte

zu Meine Themen hinzufügen

Hinzufügen

Schlagwort zu
Meine Themen

zu Meine Themen hinzufügen

Hinzufügen

Sie haben bereits von 15 Themen gewählt

Bearbeiten

Sie verfolgen dieses Thema bereits

Entfernen

Für die Nutzung von "Meine Themen" ist ihr Einverständnis zur Datenspeicherung nötig.

Weiter
Fraunhofer-Gesellschaft Sicherheitslücken Wissenschaftlerinnen und Wissenschaftler
Diesen Artikel teilen / ausdrucken


 
Mehr zum Thema
Apple

01.02.2019

Apple: Gravierende Sicherheitslücke in Facetime behoben

Apple wird die nach einer Sicherheits-Lücke abgeschalteten Gruppen-Telefonate in seinem Dienst Facetime kommende Woche mit einem Software-Update wieder aktivieren. » mehr

Hackerkongress in Leipzig

27.12.2018

Hackerkongress stellt soziale Gerechtigkeit in den Fokus

Was bringt das bedingungslose Grundeinkommen? Wie manipulierbar ist die nächste US-Wahl? Ende Dezember lädt der Chaos Computer Club traditionell zu seinem großen Jahreskongress. Neben Sicherheitslücken geht es um brisant... » mehr

«Fake News»

10.04.2019

Experten: Desinformationskampagnen im Netz überschätzt

Die Zahl der Desinformationskampagnen im Netz ist nach Meinung von Politwissenschaftler Simon Hegelich zwar höher als angenommen, ihre Wirkung werde allerdings überschätzt. » mehr

Sundar Pichai in Berlin

22.01.2019

Google startet digitale Bildungsinitiative in Deutschland

Ein Google-Campus für kleinere Start-up-Unternehmen in Berlin-Kreuzberg wurde abgesagt, die Hauptstadt bekommt nun aber doch ein neues Google-Gebäude. Zur Eröffnung trat der Internetkonzern mit ungewöhnlichen Verbündeten... » mehr

Whatsapp

11.10.2018

Whatsapp per Videoanruf angreifbar: Version prüfen und updaten

Whatsapp weist eine schwerwiegende Sicherheitslücke auf, über die Angreifer mit einem einzigen Videoanruf das gesamte Smartphone kapern können. » mehr

Notebook

27.09.2018

Experten decken Sicherheitslücke in vielen Notebooks auf

Der IT-Sicherheitsspezialist Eset hat eine schwerwiegende Sicherheitslücke aufgedeckt, die Windows-Notebooks diverser großer Hersteller ab Baujahr 2006 betreffen könnte. Es gehe um bis zu einer Milliarde Geräte. » mehr

Bildergalerie » zur Übersicht

WG:

Brand im Winterling-Gebäude | 24.04.2019 Röslau
» 14 Bilder ansehen

Ü30-Osterparty Susi Weißenstadt

Ü30-Osterparty Susi Weißenstadt | 21.04.2019 Weißenstadt
» 23 Bilder ansehen

SpVgg Bayern Hof - TSV Aubstadt 2:0 Hof

SpVgg Bayern Hof - TSV Aubstadt 2:0 | 22.04.2019 Hof
» 60 Bilder ansehen

Autor
dpa

dpa

Kontakt zum Autor

Autor zu »Meine Themen« hinzufügen

Veröffentlicht am:
12. 09. 2018
15:45 Uhr



^
Ändern Einverstanden

Diese Webseite nutzt Cookies für Funktions-, Statistik- und Werbezwecke. In unserer » Datenschutzerklärung können Sie die Cookie-Einstellungen ändern. Wenn Sie der Verwendung von Cookies zustimmen, klicken Sie bitte "Einverstanden".