Aktuelles, Experten, Studien - geschrieben von dp am Montag, November 4, 2024 17:15 - noch keine Kommentare
Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
Informatiker aus Dresden, Fairfax und Hamburg präsentieren systematisches Cyber-Sicherheitsmodell
[datensicherheit.de, 04.11.2024] Laut einer aktuellen Meldung der Technischen Universität Dresden erarbeiten dortige Informatiker mit Kollegen der George Mason University in Fairfax in den USA und der HAW Hamburg ein Sicherheitsmodell für web-basierte Kommunikation. Die renommierte Fachzeitschrift „Communications of the ACM“ hat Ergebnisse im Sommer 2024 als „Research Highlight“ veröffentlicht. Web-Entwickler und Dienstanbieter seien bei der Bereitstellung ihrer Software auf eine ganze Reihe von Protokollen, Diensten und Bibliotheken angewiesen – „oft werden die einzelnen Bausteine miteinander verknüpft“. Dadurch schlichen sich Schwachstellen, sogenannte Bugs, Malware und Datenlecks ein – „die umso problematischer sind, je mehr Kritische Infrastrukturen und Sicherheitsdienste von ihnen abhängen“.
Besorgniserregende Cyber-Sicherheitslücken bei Alarmierungsbehörden, Hilfsdiensten und Außenministerien
Ein Beispiel für wichtige Web-Dienste sind die „Alerting Authorities“ (AAs) in den USA – Behörden mit der Befugnis zur Alarmierung der Öffentlichkeit angesichts einer Katastrophe oder Bedrohung bzw. in Vermissten-Fällen. „Heute gibt es mehr als 1.600 Alarmierungsbehörden auf Bundes-, Landes-, Kommunal- und Territorialebene, die in ihrem Zuständigkeitsbereich wichtige öffentliche Warnungen herausgeben.“ Wie viele andere Notdienste seien auch solche Alarmzentralen für ihre Kommunikation und ihren Betrieb auf das Internet angewiesen, um die Sicherheit im Land aufrechtzuerhalten.
Die in der Oktober-Ausgabe der „Communications of the ACM“ unter dem Titel „A Security Model for Web-Based Communication“ unter Mitwirkung von Prof. Matthias Wählisch und Pouyan Fotouhi Tehrani, Professur für „Distributed and Networked Systems“ an der Fakultät für Informatik der TU Dresden, veröffentlichte Studie zeigt demnach besorgniserregende Sicherheitslücken in der Internet-Kommunikation dieser Alarmierungsbehörden, von deutschen Hilfsdiensten und Webseiten der Außenministerien von UN-Mitgliedstaaten auf. „Etwa 46 Prozent der untersuchten Organisationen verwenden gemeinsam genutzte Zertifikate – ein Prozent aller Organisationen hat keine oder ungültige Zertifikate. Zwei Drittel der Organisationen sind nicht eindeutig identifizierbar, was die Grundvoraussetzung für eine vertrauenswürdige Kommunikation ist.“
Cyber-Sicherheit Kritischer Dienste auch von Namen und Zertifikaten abhängig
Damit Kritische Dienste wie „Alerting Authorities“ im Web funktionieren, seien Namen und Zertifikate notwendig. Beide Dienste, der „Domain Name Service“ (DNS) für Namen und die Zertifikate selbst, müssten vertrauenswürdig und sicher sein. „Laut der Studie werden die zur Verfügung stehenden Sicherheitsmechanismen aber nur unzureichend genutzt.“ Angreifer könnten damit einen Web-Dienst vorgeben, ohne dass der Nutzer die Richtigkeit ausreichend überprüfen könne.
Die veröffentlichte Studie verifiziere eine enorme Anzahl an Webseiten von „Alerting Authorities“, die über verschiedene Ressourcen verstreut seien. Die Studie basiere auf sehr sorgfältig durchgeführten Internet-Messungen und biete dadurch einen wertvollen Datensatz für die Analyse des Domain-Namensraums und der Web-PKI. „Die Ergebnisse über Sicherheitsprofile und Schwachstellen wurde den Behörden mitgeteilt, um sie für Verbesserungen zu sensibilisieren.“ Das vorgeschlagene Sicherheitsmodell verallgemeinere die Erkenntnisse, so dass die Überprüfung zukünftig algorithmisch möglich sei.
Cyber-Sicherheitslage im Web sollte automatisiert kommunizierbar sein
„Unsere Studie betrifft alle Länder, in denen ähnliche Systeme für öffentliche Notfallwarnungen eingeführt wurden und das ,World Wide Web’ im Allgemeinen“, erläutert Prof. Matthias Wählisch, und betont: „Wir wollen erreichen, dass die Sicherheitslage im Web zukünftig automatisiert kommunizierbar ist, sowohl für Laien als auch Experten.“
Die Fachzeitschrift „Communications of the ACM“ erscheine seit 1958 monatlich: Sie zähle zu den wichtigsten Zeitschriften in der Informatik. Die Kategorie „Research Highlights“ würdige herausragende Forschungsarbeiten von übergeordneter Bedeutung.
Weitere Informationen zum Thema / und Anmeldung:
COOMUNICATIONS OF THE ACM, Pouyan Fotouhi Tehrani & Eric Osterweil & Thomas C. Schmidt & Matthias Wählisch, 28.08.2024
Security and Privacy / A Security Model for Web-Based Communication / In this paper, we introduce a generic security model for Web services based on the dimensions of resolution, transaction, and identification
Aktuelles, Experten - Nov 20, 2024 21:07 - noch keine Kommentare
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
weitere Beiträge in Experten
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
Aktuelles, Branche, Studien - Nov 20, 2024 20:59 - noch keine Kommentare
Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
weitere Beiträge in Branche
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
- NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren