Webseiten-Siegel: Böses Omen statt Sicherheitsgarant
Sicherheits-Siegel für Webseiten sollen deren Vertrauenswürdigkeit signalisieren. Tatsächlich sind Webseiten, die solche Siegel nutzen, weniger sicher als Seiten, die darauf verzichten. Darauf deutet jedenfalls eine aktuelle Studie hin.
- Fabian A. Scherschel
Vier Forscher der Universität Leuven in Belgien und der Stony Brook University in New York haben zehn Anbieter von Sicherheits-Siegeln für Webseiten unter die Lupe genommen. Diese Dienste kosten typischerweise zwischen 50 und über 2000 US-Dollar im Jahr und sollen einer Webseite bescheinigen, sicher und vertrauenswürdig zu sein. Bei ihren Tests fanden die Forscher allerdings heraus, dass die Siegel den Webseiten eher schaden als nutzen. Zum einen sind die Tests, mit denen die Anbieter die Sicherheit der Seiten überprüfen, nicht weitreichend genug. Zum anderen stellen die Siegel selbst eine Gefahr für die Webseiten dar, auf denen sie zur Schau gestellt werden.
Keiner der Dienste fand mehr als die Hälfte der Lücken
Um festzustellen, wie genau die Anbieter der Sicherheits-Siegel die Seiten ihrer Kunden untersuchen, unterzogen die Forscher neun als sicher zertifizierte Webseiten einem manuellen Sicherheitscheck. In je acht Stunden Untersuchung pro Seite fanden sie dabei bei sieben der neun untersuchten Server schwerwiegende SicherheitslĂĽcken. Den automatischen Tests der Siegel-Anbieter ging dabei von einfachsten SQL-Injection-LĂĽcken ĂĽber Cross Site Scripting (XSS) bis hin zu Cross-Site Request Forgery (CSRF) viel durch die Lappen. Bei drei von vier untersuchten Online-Shops konnten die Forscher den Preis der gekauften Produkte vor dem Gang zur virtuellen Kasse manipulieren.
Um die Siegel-Anbieter weiter auf die Probe zu stellen, bauten die Forscher eine Webseite mit einer ganzen Reihe von eingebauten Sicherheitslücken und kauften acht verschiedene Sicherheitssiegel für die Seite – zwei der Anbieter überprüften, ob es sich beim Käufer um eine echte Firma handelte und flogen deshalb aus diesem Test. Alle acht der getesteten Dienste fanden weniger als die Hälfte der Lücken. Nur wenige fanden den über die Webseite an Besucher verteilten Trojaner, obwohl es sich um lange bekannten Schadcode handelte. Zwei Dienste fanden gar keine Lücken.
Das Sicherheits-Siegel als Gefahr
Die Anbieter der Sicherheits-Siegel finden mit ihren automatischen Tests aber nicht nur zu wenige Lücken, sie schwächen die Webseiten absurderweise auch noch. Das liegt an der Art, wie die Firmen die Siegel auf den Seiten anzeigen. Hat eine Webseite einmal einen Sicherheitstest bestanden, bekommt sie ein Siegel, das als Icon auf der Seite angezeigt wird. Von nun an wird der Server regelmäßig weiteren Tests unterzogen. Fällt die Seite später mal durch oder endet der Vertrag mit dem Sicherheitsanbieter, wird das Icon nicht etwa ganz entfernt, sondern durch ein transparentes Bild ersetzt. Diesen Vorgang konnten die Forscher automatisch mit einem Skript überwachen.
Verschwindet ein Siegel von einer Webseite, hat die Seite also mit einiger Wahrscheinlichkeit gerade eine Test verpatzt und ist angreifbar. Ein Angreifer könnte nun also hunderte von Siegeln überwachen und dann die Seiten angreifen, die ihm durch sein Skript gemeldet werden. Meldet er selbst eine Seite bei dem Siegel-Anbieter für Tests an, kann er am eigenen Webserver sehen, was der Anbieter gerade ausprobiert. So kann man auch beobachten, welcher neue Test gerade eine Schwachstelle auf den betroffenen Seiten aufgedeckt hat. So wird das Sicherheits-Siegel bei genauer Beobachtung zur Gaunerzinke, die auf Sicherheitslücken hindeutet. (fab)