“Microsoft: Gefahr für alle Surfer” (pcwelt.de)

Microsoft und andere Computerexperten warnen vor einem ernsten Sicherheitsloch im Internet. Die Bedrohung geht vom sogenannten “cross-site-scripting” aus. Betroffen sind Programme aller Hersteller, da das Problem nicht aus den Anwendungen, sondern aus bestimmten Internet-Standards resultiert.
(…)
Das Problem kann nur durch massive Anstrengungen der Web-Designer unter Kontrolle gebracht werden, sagte dazu ein Sprecher des CERT Coordination Center der Carnegie Mellon Universität. Riediger vom deutschen CERT rät den Anwendern, aktive Inhalte abzuschalten.

“aktive Inhalte abzuschalten” – das wird für den Besucher gar nicht so leicht, denn viele, sehr viele Websites funktionierten ohne JavaScript gar nicht mehr.


Die Meldung ist schon etwas älter… vom 4. Februar… 2000.


Mehr als 10 Jahre ist der Artikel alt und was hat sich geändert?

Die Angriffsmöglichkeiten die Cyberkriminellen zur Verfügung stehen haben sich um ein vielfaches erhöht. Heute findet man kaum noch Websites die ohne dynamische Inhalte daherkommen. Gibt es z.B. eine Sicherheitslücke in einem Content Management System, so sind gleich, je nach Verbreitung, tausende Seiten betroffen, was i.d.R. von den Kriminellen auch sehr schnell ausgenutzt wird.

Die Softwareentwickler und die vielen Websitefrickler, die sich “Webdesigner” nennen und in “Webagenturen” arbeiten, habe kaum bis gar nichts dazugelernt. In neu aufgesetzten Websites und in neuer Software (z.B. CMS) finden sich zu Hauf Sicherheitslücken, bei denen man sieht, da wurden wieder grundlegende Regeln für sichere Anwendungen missachtet.

Ich glaube wir brauchen endlich Standards an die sich Entwickler halten müssen, bevor sie tausendfach ihre Software verteilen, wobei ich jetzt nicht den kleinen Privatfrickler meine, sondern Firmen die mit ihrer Arbeit Geld verdienen. Und wir brauchen Standards wie diese Firmen mit gemeldeten Sicherheitslücken umgehen müssen, in welchem Zeitrahmen – nachprüfbar – gehandelt wurde.

Auch ein Websitebetreiber der Hinweise zu Sicherheitslücken bekommt muss handeln und zwar nachprüfbar. Es kann nicht sein das gemeldete Lücken aus Kostengründen oder Desinteresse ungefixt bleiben und man sich einfach darauf verlässt dass der der den Hinweis gegeben hat schon nichts veröffentlichen wird und kriminelle Hacker die Lücken nicht finden und ausnutzen werden.

Auch in Websites die aktuell 600.000 Besucher pro Tag haben gibt es eklatante Sicherheitslücken, von denen die Betreiber wissen, wo aber nicht gehandelt wird – 600.000 potenzielle Opfer von Cyberkriminellen – täglich – über eine Website! Wer Sicherheitslücken vorsätzlich nicht schließt, sollte haftbar gemacht werden können.

Verstößt jemand gegen den Datenschutz, so gibt es in jedem Bundesland eine Stelle an die man sich wenden kann. Um vorsätzlich ungefixte Lücken kümmert sich niemand, da muss der Handlanger der Cyberkriminellen keine Strafen befürchten – im Gegenteil, der Hinweisgeber wird sogar noch mit Klagen bedroht, um ihn mundtot zu machen.

Mir fällt es schwer hier den Gesetzgeber zum Handeln aufzurufen – aber eine Selbstkontrolle oder Selbstverpflichtung gibt es zu dem Thema leider bisher nicht.


Zu dem Thema noch zwei Links:
“Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken” (heise.de)

Tim Stanley, CISO bei der Fluglinie Continental Airlines, fand als Kunde der beiden Softwarehersteller deutliche Worte: “Es ist mir egal, in welchem Verhältnis Hacker und Hersteller zueinander stehen. Ich zahle direkt und indirekt die Arbeit von beiden und will, dass die Lücken so schnell wie möglich geschlossen werden.”

Und für die die Lücken finden und nicht wissen wie sie damit umgehen sollen:
“CR152 – Responsible Disclosure – Wie man als Hacker am Leben bleibt” (chaosradio.ccc.de)