Internetsicherheit Tickende Zeitbombe im Netz

Die wichtigste Technologie zur Identifikation im Internet ist hackergefährdet. Nun läuft das größte Sicherheits-Update fürs Web seit Jahren. Was Online-Surfer und E-Mail-Nutzer jetzt wissen müssen.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa
Abhörskandal Quelle: dpa
iOS-Kundendaten geklaut Quelle: dpa
Hacker mit Staatsauftrag Quelle: dpa
Hacker Quelle: dpa
Der Sony-Hack Quelle: dpa
Mastercard und Visa Quelle: dpa
Estlands Computer außer Gefecht Quelle: dpa
ILOVEYOU-Virus Quelle: REUTERS
Der berühmteste Hacker des 20. Jahrhunderts Quelle: dpa

Kennen Sie das? Sie surfen dieser Tage im Internet, rufen wie gewohnt Ihren E-Mail-Dienst, Online-Shops oder Nachrichtenseiten ab. Doch ihr Browser warnt plötzlich davor, diese Seiten weiter zu nutzen. Die Webangebote seien nicht mehr vertrauenswürdig, womöglich gar von Hackern gekapert, melden die Browser Firefox, Chrome und Internet Explorer immer häufiger. Man möge, wenn überhaupt, nur mit größter Vorsicht weiter surfen.

Die Warnhinweise sind – noch – kein Grund zur Panik. Dahinter steckt vielmehr eines der größten Sicherheits-Updates fürs Internet seit Jahren: Auf weltweit Hunderttausenden Webservern und anderen vernetzten Rechnern müssen deren Betreiber seit Jahresbeginn neue Identifikationsschlüssel installieren, sollen ihre Angebote künftig weiter erreichbar sein.

Diese Codes sollen – wie digitale Fingerabdrücke – garantieren, dass es sich bei Webseiten, Online-Shops und anderen Cloud-Diensten tatsächlich um die Angebote handelt, für die sie sich ausgeben – und Angriffe von Hackern erschweren.

Schon seit längerem ist bekannt, dass die für HTTPS-Zertifikate genutzte Kryptotechnik SHA-1 Sicherheitsrisiken birgt. Nun wird es ernst: die großen Browser zeigen Fehlermeldungen, wenn sie auf Zertifikate treffen, die eine Signatur mit SHA-1 aufweisen.

Kryptotechnik ist seit Jahren veraltet

Genau damit hapert es aber seit geraumer Zeit. Die bisher verwendeten Sicherheitsschlüssel, auch „Zertifikate“ genannt, werden in einem komplizierten Verfahren berechnet. Im Zeitalter von Cloud-Computing ist die derzeit gängige Software indes veraltet: IT-Sicherheitsexperten warnen schon seit Längerem, die von zigtausenden Webseiten eingesetzte Kryptotechnik Secure Hash Algorithm 1, kurz SHA-1 genannt, könnte von Hackern gekapert werden.

Dank der heute im Netz fast unbegrenzt verfügbaren Rechenpower könnten diese modifiziert oder kopiert werden. So könnten Angreifer beispielsweise Bankkunden beim Online-Banking mithilfe gefälschter Codes auf Phishing-Computer umleiten und deren Daten abgreifen.

Angriffsziele von aufsehenerregenden Cyberangriffen

Denn erkennt der Browser einen Kryptoschlüssel als gültig, zeigt er in der Adressleiste ein verriegeltes Schloss als Symbol für die verifizierte Verbindung an. Und die Internetadresse beginnt mit dem Kürzel „https://“ – im Gegensatz zu ungesicherten Online-Seiten mit dem Kürzel „http://“. Im Kampf gegen Cyberkriminelle nutzen immer mehr Internetangebote gesicherte Verbindungen.

Gefälschte digitale Fingerabdrücke ab 100.000 Dollar

Aktuell, kalkulieren Sicherheitsexperten, würde es rund 100.000 Dollar kosten, den digitalen Doppelgänger eines legitimen SHA-1-Codes zu erzeugen. Damit ließe sich Surfern im Internet vorgaukeln, eine vertrauenswürdige Webseite angezeigt zu bekommen – obwohl sie tatsächlich auf eine gefälschte Seite umgeleitet werden.

Die größten Mythen zur IT-Sicherheit
Fakt ist: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. Quelle: dpa
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. Quelle: dpa
Fakt: Angriffe laufen immer, Tag und Nacht. Oft bekommen Sie davon gar nichts mit. Eine Security-Lösung mit Antivirus und Firewall sollte heute selbstverständlich sein, ebenso Up-to-Date-Systeme mit aktuellen Patches. Quelle: dpa
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. Quelle: dapd
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. Quelle: dpa
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. Quelle: Fraunhofer - SITFrauenhofer Institut
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. Quelle: Reuters
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adresse als Absender – fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen! Quelle: dpa
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem und gleichwohl sicher erledigen. Quelle: obs

Geheimdienste, die teils das Zehnfache solcher Summen ausgeben, um Hackern das Wissen um Software-Schwachstellen abzukaufen und so in fremde Rechner einzudringen, könnten sich einen gefälschten SHA-1-Schlüssel also schon jetzt leisten. Und bald schon dürfte sich das – dank Cloud-Computing – auch für ordinäre Online-Kriminelle rechnen. „Damit wächst das Risiko, dass es Hackern gelingt, SHA-1-Codes mit vertretbarem Aufwand zu fälschen“, sagt Kim Nguyen, Chef von D-Trust, einer Tochter der Berliner Bundesdruckerei, die selbst Zertifikate ausstellt und beglaubigt.

Deshalb sind die Browser-Entwickler nun in die Offensive gegangen: Chrome-Hersteller Google und Mozilla (Firefox) haben ihre Online-Software seit Jahresbeginn modifiziert. Microsofts Browser Internet Explorer und Edge verschärfen die Sicherheitsanforderungen am 14. Februar. Nun öffnen sie Webseiten, die sich mit der alten Technologie identifizieren, nur noch nach Warnhinweisen. Und zeigen den vermeintlichen Sicherheitsschlüssel "https://" anschließend in rot und durchgestrichen an. Apple kündigte inzwischen ebenfalls an, im Laufe des Frühjahrs mit dem Safari-Browser nachzuziehen. Kommende Updates der Hersteller sollen die Seiten demnächst komplett blocken.

  • 1
  • 2
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%