Eine fehlerhafte Implementierung von TLS ermöglicht es, Datenverkehr zu entschlüsseln. Das hat ein Team der Universität Bochum nun festgestellt. Die Sicherheitslücke könnte Angreifer befähigen, Teile der Kommunikation zwischen Browser und Webseite mitzulesen und Cookies zu klauen. Die gute Nachricht: Ob diese sogenannte Padding-Oracle-Lücke auf der eigenen Webseite vorhanden ist, lässt sich mit dem Gratis-Tool SIWECOS recht schnell und einfach überprüfen. 

„Fast zwei Prozent der Top-1-Million Webseiten im Netz sind betroffen, darunter sehr viele Seiten namhafter Hersteller“, sagt Robert Merget von der Ruhr-Universität Bochum. „Ob die eigene Webseite dazu gehört können angemeldete Nutzer von SIWECOS einfach prüfen, indem sie unter www.siwecos.de die entsprechende Webseiten-Adresse eingeben.“ Ist eine Seite gefährdet, dann sollte man zunächst die Software updaten. Hilft das nicht, dann ist es unerlässlich den Hersteller zu kontaktieren.

Schadcode in unverdächtigen Dateien

„Das Content Management System (CMS), also die Software hinter der Unternehmenswebsite, hat noch viel zu häufig Sicherheitslücken“, sagt Cornelia Schildt, Security-Expertin im eco – Verband der Internetwirtschaft und Leiterin des Projektes SIWECOS. Der Name steht für „Sichere Webseiten und Content Management Systeme“, gefördert hat es das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT Sicherheit in der Wirtschaft. Ein Scanner unter www.siwecos.de ermöglicht Website-Checks in wenigen Sekunden. Cornelia Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, ihre Websites damit regelmäßig kostenfrei auf ihre Sicherheit zu checken.

Ein weiterer neuer Angriffsvektor betrifft Schadcode, der möglicherweise in eine eigentlich unverdächtige Datei eingeschleust wurde: Wenn ein Webserver eine Datei überträgt ohne mitzuteilen, um welchen Dateityp es sich handelt, dann schauen Browser möglicherweise in der Datei nach. „Ist in einer solchen Datei Schadcode versteckt, dann wird dieser möglicherweise ausgeführt" sagt David Jardin vom CMS Garden e. V. Über den Header X-Content-Type-Options: nosniff wird die Funktion jedoch unterdrückt. „SIWECOS zeigt sofort an, ob diese wichtige Funktion aktiviert ist“, sagt Jardin.   

Sicherheitslücken finden und schließen

Angemeldete Nutzer erhalten zudem ausführliche Informationen über ihre Webseite und werden umgehend bei Vorfällen informiert. Registrierte Nutzer können SIWECOS auch über Plugins für CMS-Software wie WordPress oder Joomla! nutzen.

Werden Sicherheitslücken gefunden, dann können die Administratoren diese schließen. Das ist besonders wichtig für den Online-Datenschutz. Sind Webseiten unsicher, besteht die Gefahr, dass Cyberkriminelle personenbezogene Daten auslesen. Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt, können Behörden sogar hohe Bußgelder verhängen.

„Bei manchen Sicherheitslücken, die SIWECOS findet, liegt noch kein Patch vor“, sagt Merget und bietet Herstellern Unterstützung an, entsprechende Verwundbarkeiten zukünftig auszuschließen.