Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt

Informatiker aus Dresden, Fairfax und Hamburg präsentieren systematisches Cyber-Sicherheitsmodell

[datensicherheit.de, 04.11.2024] Laut einer aktuellen Meldung der Technischen Universität Dresden erarbeiten dortige Informatiker mit Kollegen der George Mason University in Fairfax in den USA und der HAW Hamburg ein Sicherheitsmodell für web-basierte Kommunikation. Die renommierte Fachzeitschrift „Communications of the ACM“ hat Ergebnisse im Sommer 2024 als „Research Highlight“ veröffentlicht. Web-Entwickler und Dienstanbieter seien bei der Bereitstellung ihrer Software auf eine ganze Reihe von Protokollen, Diensten und Bibliotheken angewiesen – „oft werden die einzelnen Bausteine miteinander verknüpft“. Dadurch schlichen sich Schwachstellen, sogenannte Bugs, Malware und Datenlecks ein – „die umso problematischer sind, je mehr Kritische Infrastrukturen und Sicherheitsdienste von ihnen abhängen“.

Besorgniserregende Cyber-Sicherheitslücken bei Alarmierungsbehörden, Hilfsdiensten und Außenministerien

Ein Beispiel für wichtige Web-Dienste sind die „Alerting Authorities“ (AAs) in den USA – Behörden mit der Befugnis zur Alarmierung der Öffentlichkeit angesichts einer Katastrophe oder Bedrohung bzw. in Vermissten-Fällen. „Heute gibt es mehr als 1.600 Alarmierungsbehörden auf Bundes-, Landes-, Kommunal- und Territorialebene, die in ihrem Zuständigkeitsbereich wichtige öffentliche Warnungen herausgeben.“ Wie viele andere Notdienste seien auch solche Alarmzentralen für ihre Kommunikation und ihren Betrieb auf das Internet angewiesen, um die Sicherheit im Land aufrechtzuerhalten.

Die in der Oktober-Ausgabe der „Communications of the ACM“ unter dem Titel „A Security Model for Web-Based Communication“ unter Mitwirkung von Prof. Matthias Wählisch und Pouyan Fotouhi Tehrani, Professur für „Distributed and Networked Systems“ an der Fakultät für Informatik der TU Dresden, veröffentlichte Studie zeigt demnach besorgniserregende Sicherheitslücken in der Internet-Kommunikation dieser Alarmierungsbehörden, von deutschen Hilfsdiensten und Webseiten der Außenministerien von UN-Mitgliedstaaten auf. „Etwa 46 Prozent der untersuchten Organisationen verwenden gemeinsam genutzte Zertifikate – ein Prozent aller Organisationen hat keine oder ungültige Zertifikate. Zwei Drittel der Organisationen sind nicht eindeutig identifizierbar, was die Grundvoraussetzung für eine vertrauenswürdige Kommunikation ist.“

Cyber-Sicherheit Kritischer Dienste auch von Namen und Zertifikaten abhängig

Damit Kritische Dienste wie „Alerting Authorities“ im Web funktionieren, seien Namen und Zertifikate notwendig. Beide Dienste, der „Domain Name Service“ (DNS) für Namen und die Zertifikate selbst, müssten vertrauenswürdig und sicher sein. „Laut der Studie werden die zur Verfügung stehenden Sicherheitsmechanismen aber nur unzureichend genutzt.“ Angreifer könnten damit einen Web-Dienst vorgeben, ohne dass der Nutzer die Richtigkeit ausreichend überprüfen könne.

Die veröffentlichte Studie verifiziere eine enorme Anzahl an Webseiten von „Alerting Authorities“, die über verschiedene Ressourcen verstreut seien. Die Studie basiere auf sehr sorgfältig durchgeführten Internet-Messungen und biete dadurch einen wertvollen Datensatz für die Analyse des Domain-Namensraums und der Web-PKI. „Die Ergebnisse über Sicherheitsprofile und Schwachstellen wurde den Behörden mitgeteilt, um sie für Verbesserungen zu sensibilisieren.“ Das vorgeschlagene Sicherheitsmodell verallgemeinere die Erkenntnisse, so dass die Überprüfung zukünftig algorithmisch möglich sei.

Cyber-Sicherheitslage im Web sollte automatisiert kommunizierbar sein

„Unsere Studie betrifft alle Länder, in denen ähnliche Systeme für öffentliche Notfallwarnungen eingeführt wurden und das ,World Wide Web’ im Allgemeinen“, erläutert Prof. Matthias Wählisch, und betont: „Wir wollen erreichen, dass die Sicherheitslage im Web zukünftig automatisiert kommunizierbar ist, sowohl für Laien als auch Experten.“

Die Fachzeitschrift „Communications of the ACM“ erscheine seit 1958 monatlich: Sie zähle zu den wichtigsten Zeitschriften in der Informatik. Die Kategorie „Research Highlights“ würdige herausragende Forschungsarbeiten von übergeordneter Bedeutung.

Weitere Informationen zum Thema / und Anmeldung:

COOMUNICATIONS OF THE ACM, Pouyan Fotouhi Tehrani & Eric Osterweil & Thomas C. Schmidt & Matthias Wählisch, 28.08.2024
Security and Privacy / A Security Model for Web-Based Communication / In this paper, we introduce a generic security model for Web services based on the dimensions of resolution, transaction, and identification