Hacker spazieren durch mein Bankkonto

EnterpriseSicherheit

SSL-Verschlüsselung im MS-Webserver nutzlos

Eine öffentliche Hacking-Aktion sorgt in Schweden und darüber hinaus für Aufregung bei Banken und E-Commerce-Anbietern. Pressevertreter konnten einem in der Szene bekannten Sicherheitsexperten über die Schulter schauen, als er sich innerhalb von Minuten Zugriff auf die Systeme gleich mehrerer Geldinstitute verschaffte. Im Zentrum der Kritik steht erneut die Web-Server-Technologie von Microsoft.

Bei den Einbrüchen in insgesamt vier Banken konnte der Hacker, der anonym bleiben wollte, den Berichten der Nachrichtenagentur Reuters zufolge sogar seine Spuren so weit verwischen, dass eine Verfolgung der kriminellen Handlung äußerst schwierig, wenn nicht unmöglich gewesen sei. Demnach verschaffte sich der Hacker zwar keinen direkten Zugriff auf die Datenbestände von individuellen Kunden, obwohl ihn daran nichts mehr gehindert hätte. Ein Geldtransfer von einem Konto zu einem anderen wäre aber jederzeit möglich gewesen, heißt es.

Knackpunkt ist den Berichten aus Schweden zufolge die Implementierung der Verschlüsselungstechnik Secure Socket Layer (SSL). Schwachstellen im SSL-Umfeld waren in den vergangenen beiden Wochen bekannt geworden, Microsoft arbeitet nach eigenen Angaben an einer Bereinigung. Für die gezeigten Einbrüche soll eine Kombination verschiedener Achillesfersen ausschlaggebend gewesen sein.

So sei es beispielsweise möglich, den Datenverkehr zwischen Client und Server trotz SSL mitzuprotokollieren, ohne dass dieser Eingriff registriert wird. Die Verschlüsselungstechnik sei insgesamt weit weniger sicher, als Banken, Internet-Dienstleister und Kunden glauben wollten, heißt es allgemein.

Der hackende Aufklärer weist aber auch den Administratoren der betroffenen Unternehmen einen Großteil der Verantwortung zu. Die Microsoft-Software sei in vielen Fällen nicht ordnungsgemäß und den Anforderungen entsprechend installiert, heißt es. Nur so sei es möglich, dass sich ein User, mit einem Zertifikat der Website ausgestattet, ohne größeren Aufwand bis ins Root-Verzeichnis vorarbeiten könne. Von dort aus stünden keine größeren Hindernisse für den Durchgriff auf das gesamte Netzwerk der Banken im Weg.

Bei Microsoft werden die Probleme mit SSL keineswegs abgestritten. Eine weit reichende Gefahr sei damit allerdings nicht verbunden, heißt es in schriftlichen Stellungsnahmen des Konzerns in Schweden. Die Netzwerke müssten in einer ganz bestimmten Weise aufgebaut sein, um Hackern eine Angriffsfläche zu bieten. Ein Microsoft-Sprecher ging sogar so weit zu sagen, die Verwundbarkeit des Webservers sei nicht einmal theoretisch gegeben.

Mit der Intrusion Detection, der Überwachung von möglichen Einbrüchen in die Systeme, scheint es jedenfalls nicht weit her zu sein. Der schwedische Sicherheitsspezialist Deprotect unternahm im Auftrag einer Bank einen veritablen Raubzug auf deren Rechnern. Mehrere zehn Millionen Dollar sollen mit vielen einzelnen Transaktionen die Konten der Bank unautorisiert verlassen haben. Selbst nach zwei Wochen war der Coup noch immer unentdeckt: Die einzelnen Summen blieben allesamt unter der kritischen Marke.

Silicon meint: Ausgerechnet in Schweden! Wo die Skandinavier doch so viel auf ihren Vorsprung bei elektronischem Handel und E-Government halten. Aber dort sind die Anwender eben noch einmal mehr für IT-Sicherheit sensibilisiert, dort ist das größte Echo für solche Demonstrationen garantiert. Insofern stellen die Skandinavier ihre Vorreiterrolle eben doch wieder unter Beweis.