Aktuelles, Experten, Studien - geschrieben von dp am Montag, November 4, 2024 17:15 - noch keine Kommentare
Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
Informatiker aus Dresden, Fairfax und Hamburg präsentieren systematisches Cyber-Sicherheitsmodell
[datensicherheit.de, 04.11.2024] Laut einer aktuellen Meldung der Technischen Universität Dresden erarbeiten dortige Informatiker mit Kollegen der George Mason University in Fairfax in den USA und der HAW Hamburg ein Sicherheitsmodell für web-basierte Kommunikation. Die renommierte Fachzeitschrift „Communications of the ACM“ hat Ergebnisse im Sommer 2024 als „Research Highlight“ veröffentlicht. Web-Entwickler und Dienstanbieter seien bei der Bereitstellung ihrer Software auf eine ganze Reihe von Protokollen, Diensten und Bibliotheken angewiesen – „oft werden die einzelnen Bausteine miteinander verknüpft“. Dadurch schlichen sich Schwachstellen, sogenannte Bugs, Malware und Datenlecks ein – „die umso problematischer sind, je mehr Kritische Infrastrukturen und Sicherheitsdienste von ihnen abhängen“.
Besorgniserregende Cyber-Sicherheitslücken bei Alarmierungsbehörden, Hilfsdiensten und Außenministerien
Ein Beispiel für wichtige Web-Dienste sind die „Alerting Authorities“ (AAs) in den USA – Behörden mit der Befugnis zur Alarmierung der Öffentlichkeit angesichts einer Katastrophe oder Bedrohung bzw. in Vermissten-Fällen. „Heute gibt es mehr als 1.600 Alarmierungsbehörden auf Bundes-, Landes-, Kommunal- und Territorialebene, die in ihrem Zuständigkeitsbereich wichtige öffentliche Warnungen herausgeben.“ Wie viele andere Notdienste seien auch solche Alarmzentralen für ihre Kommunikation und ihren Betrieb auf das Internet angewiesen, um die Sicherheit im Land aufrechtzuerhalten.
Die in der Oktober-Ausgabe der „Communications of the ACM“ unter dem Titel „A Security Model for Web-Based Communication“ unter Mitwirkung von Prof. Matthias Wählisch und Pouyan Fotouhi Tehrani, Professur für „Distributed and Networked Systems“ an der Fakultät für Informatik der TU Dresden, veröffentlichte Studie zeigt demnach besorgniserregende Sicherheitslücken in der Internet-Kommunikation dieser Alarmierungsbehörden, von deutschen Hilfsdiensten und Webseiten der Außenministerien von UN-Mitgliedstaaten auf. „Etwa 46 Prozent der untersuchten Organisationen verwenden gemeinsam genutzte Zertifikate – ein Prozent aller Organisationen hat keine oder ungültige Zertifikate. Zwei Drittel der Organisationen sind nicht eindeutig identifizierbar, was die Grundvoraussetzung für eine vertrauenswürdige Kommunikation ist.“
Cyber-Sicherheit Kritischer Dienste auch von Namen und Zertifikaten abhängig
Damit Kritische Dienste wie „Alerting Authorities“ im Web funktionieren, seien Namen und Zertifikate notwendig. Beide Dienste, der „Domain Name Service“ (DNS) für Namen und die Zertifikate selbst, müssten vertrauenswürdig und sicher sein. „Laut der Studie werden die zur Verfügung stehenden Sicherheitsmechanismen aber nur unzureichend genutzt.“ Angreifer könnten damit einen Web-Dienst vorgeben, ohne dass der Nutzer die Richtigkeit ausreichend überprüfen könne.
Die veröffentlichte Studie verifiziere eine enorme Anzahl an Webseiten von „Alerting Authorities“, die über verschiedene Ressourcen verstreut seien. Die Studie basiere auf sehr sorgfältig durchgeführten Internet-Messungen und biete dadurch einen wertvollen Datensatz für die Analyse des Domain-Namensraums und der Web-PKI. „Die Ergebnisse über Sicherheitsprofile und Schwachstellen wurde den Behörden mitgeteilt, um sie für Verbesserungen zu sensibilisieren.“ Das vorgeschlagene Sicherheitsmodell verallgemeinere die Erkenntnisse, so dass die Überprüfung zukünftig algorithmisch möglich sei.
Cyber-Sicherheitslage im Web sollte automatisiert kommunizierbar sein
„Unsere Studie betrifft alle Länder, in denen ähnliche Systeme für öffentliche Notfallwarnungen eingeführt wurden und das ,World Wide Web’ im Allgemeinen“, erläutert Prof. Matthias Wählisch, und betont: „Wir wollen erreichen, dass die Sicherheitslage im Web zukünftig automatisiert kommunizierbar ist, sowohl für Laien als auch Experten.“
Die Fachzeitschrift „Communications of the ACM“ erscheine seit 1958 monatlich: Sie zähle zu den wichtigsten Zeitschriften in der Informatik. Die Kategorie „Research Highlights“ würdige herausragende Forschungsarbeiten von übergeordneter Bedeutung.
Weitere Informationen zum Thema / und Anmeldung:
COOMUNICATIONS OF THE ACM, Pouyan Fotouhi Tehrani & Eric Osterweil & Thomas C. Schmidt & Matthias Wählisch, 28.08.2024
Security and Privacy / A Security Model for Web-Based Communication / In this paper, we introduce a generic security model for Web services based on the dimensions of resolution, transaction, and identification
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren