• Artikel

Sicherheit auf dem PrüfstandKennwörter und Kreditkarten, Teil 2

Jesper M. Johansson

Inhalt

Unechter mehrstufiger Anmeldeprozess
Das Problem mit Browser-Add-Ins
Der Authentifikator darf sich nie ändern
Herabstufen auf weniger sichere Kennwörter
Umgehen der unechten mehrstufigen Anmeldung
Probleme mit kompromittierten Kennwörtern
Einige Vorteile
Irreführung von Benutzern durch Eye Candy
Öffnen oder nicht öffnen
Bereitstellen sicherer Kommunikation
Es geht um den Datenschutz

Willkommen beim zweiten Teil meiner dreiteiligen Reihe zu dem Thema, wie die IT-Branche Verbraucher verwirrt, statt ihnen bei Sicherheitsproblemen zu helfen. In der Ausgabe des TechNet Magazins vom Juli 2008 habe ich undurchführbare und falsche Sicherheitsempfehlungen sowie verwirrende Anmeldeworkflows erörtert. (Wenn Sie Teil 1 nicht gelesen haben, finden Sie den Artikel

unter technet.microsoft.com/magazine/cc626076.) Ich habe dargelegt, auf welche Weise sehr häufig anzutreffende, aber schlechte Sicherheitsempfehlungen sowie schlechte Anmeldeworkflows die Verbraucher verwirren und ihre Bemühungen zum Schutz ihrer Personendaten untergraben.

In dieser Ausgabe wird diese Diskussion mit weiteren Beispielen aus der Praxis fortgesetzt, die aus der Welt der Verbrauchersicherheit stammen. Der letzte Teil dieser Reihe, der einen „Ruf zu den Waffen“ für Sicherheitsfachleute weltweit enthalten wird, erscheint in der nächsten Ausgabe des TechNet Magazins.

Unechter mehrstufiger Anmeldeprozess

Im Oktober 2005 veröffentlichte das Federal Financial Institutions Examination Council (FFIEC) seine Richtlinien zur Authentifizierung in einer Internet-Banking-Umgebung (siehe www.ffiec.gov/press/pr101205.htm). Der Zeitrahmen für die Implementierung betrug nur 14 Monate, und bald hatten US-amerikanische Finanzinstitute Probleme damit herauszufinden, wie diese neuen Richtlinien erfüllt werden könnten.

Den meisten Instituten gelang es nicht, diesen Zeitrahmen einzuhalten. Viele Institute, denen es schließlich gelang, die Richtlinien einzuhalten, führten Maßnahmen ein, die lediglich dem Zweck dienen, diese Richtlinien zu erfüllen. Das heißt, die Institute ergriffen Maßnahmen, die die Sicherheit der Kunden in keiner Weise erhöhen (es sind lediglich Maßnahmen des „Sicherheitstheaters“). Einige der interessantesten Beispiele wenig hilfreicher Lösungen sind jene, mit denen versucht wird, eine mehrstufige Authentifizierung zu erstellen, die eigentlich gar nicht mehrstufig ist.

Denken Sie beispielsweise an die Technologie, die den Tipprhythmus misst, wenn ein Benutzer sein Kennwort eingibt. Bei Verwendung auf einer Website zeigt diese Lösung einen Anmeldedialog an, der genau wie der alte Anmeldedialog aussieht. Dieser Dialog ist jetzt jedoch ein Adobe Flash-Objekt.

Das Flash-Objekt zeichnet den Tipprhythmus des Benutzers auf, beispielsweise, wie lange die Tasten gedrückt werden und wie viel Zeit zwischen dem Drücken der einzelnen Tasten verstreicht. Diese Daten werden zusammen mit dem Kennwort an die Website gesendet, wo sie mit gespeicherten Werten verglichen werden. So lange der Tipprhythmus innerhalb bestimmter Abweichungen der gespeicherten Daten liegt und das Kennwort übereinstimmt, wird die Anmeldung akzeptiert. Dabei wird von der allgemeinen Vorstellung ausgegangen, dass die Website eine pseudobiometrische Authentifizierungsmethode verwenden kann, ohne Drittanbieterhardware auf dem Client installieren zu müssen.

Ich bezeichne dies als unechte mehrstufige Authentifizierung. Es ist keine echte mehrstufige Authentifizierung, die zwei oder mehrere der folgen kanonischen Faktoren misst:

  • Etwas, das der Benutzer besitzt (z. B. eine Smartcard)
  • Etwas, das der Benutzer weiß (z. B. ein Kennwort)
  • Etwas, das der Benutzer ist (z. B. ein Fingerabdruck)

Statt tatsächlich mehrere Faktoren in den Authentifizierungsprozess aufzunehmen, liest die unechte mehrstufige Authentifizierung mehrere Parameter von nur einem einzigen Faktor – dem Kennwort – ab. Diese zusätzlichen Parameter werden dann verwendet, um Rückschlüsse auf etwas zu ziehen, das der Benutzer ist.

Die für die unechte mehrstufige Authentifizierung verwendete Technologie hat viele Fehler. Zusammen machen diese Fehler die Technologie größtenteils unwirksam, was das Lösen von Sicherheitsproblemen betrifft.

Das Problem mit Browser-Add-Ins

Unechte mehrstufige Authentifizierungssysteme nutzen Browser-Add-Ins, um die hochentwickelte clientseitige Verarbeitung bereitzustellen, die sie benötigen. Selbstverständlich haben alle Softwareanwendungen Fehler, und einige dieser Fehler verursachen Sicherheitsrisiken. Diese Sicherheitsrisiken werden zu einem echten Problem, wenn es schwierig ist, die Software zu aktualisieren, und der Benutzer sich nicht sicher ist, ob ein Update installiert wurde.

Browser-Add-Ins zeichnen sich leider durch beide Merkmale aus. Sie sind schwierig zu aktualisieren und bieten dem Benutzer keine ausreichenden Informationen dazu, ob die installierte Version auf dem neuesten Stand ist. Deshalb muss der Benutzer Software über das Internet verfügbar machen, die andernfalls möglicherweise nicht benötigt würde.

In einigen Fällen muss auf der Add-In-Website regelmäßig nach Updates gesucht werden, damit das Add-In immer auf dem neusten Stand ist. Es ist höchst unwahrscheinlich, dass die meisten Benutzer dies tun werden. Jedes System, das von einem Endbenutzer fordert, dass zusätzliche, in keinem Zusammenhang stehende Software über das Internet verfügbar gemacht wird, um Sicherheitsfunktionalität zu bieten, sollte mit Vorsicht betrachtet werden.

Der Authentifikator darf sich nie ändern

Der Faktor, der sich auf etwas bezieht, das der Benutzer ist, hat eine Eigenschaft (vielleicht sogar einen Mangel), der die beiden anderen Faktoren nicht betrifft. Während Sie Kennwörter ändern können (etwas, das Sie wissen) und neue Sicherheitstoken erstellen können (etwas, das Sie haben), ist die Anzahl biometrischer Authentifikatoren, die verwendet werden können, ziemlich begrenzt. Sie haben beispielsweise zehn Fingerabdrücke, die Sie in der Regel ein Leben lang behalten. Sollten Sie einen Finger durch einen Unfall verlieren, kann er normalerweise nicht ersetzt werden.

Überlegen Sie nun, wie sich dies auf das Beispiel der unechten mehrstufigen Anmeldung auswirkt. Die als Teil eines anderen Faktors erfassten Metriken lassen sich nicht leicht ersetzen oder ändern. Bei einer Kennwortänderung ändert sich die Art und Weise, wie der Benutzer es eingibt, aber die Art und Weise, wie er die Tasten betätigt, wird sich nicht ändern. Genau darauf verlässt sich das Verfahren. Sollten diese Metriken kompromittiert werden, wäre es möglich, sie künstlich herzustellen. Zumindest könnte ein Angreifer diese Metriken aufzeichnen und wieder abspielen.

Herabstufen auf weniger sichere Kennwörter

Es empfiehlt sich, lange Kennwörter zu verwenden und sie häufig zu ändern. Wie ich bereits in Teil 1 dieser Reihe erörtert habe, ist es (entgegen einiger Ratschläge) eine bewährte Methode, Kennwörter – sicher – aufzuzeichnen. Diese Methoden eignen sich jedoch nicht für das manuelle Eingeben des Kennworts. Es ist schwieriger, ein langes Kennwort einzugeben, und ein aufgezeichnetes Kennwort ist weitaus nützlicher, wenn es kopiert und eingefügt werden kann. Die beste Möglichkeit, den Überblick über hundert oder mehr Kennwörter zu behalten, ist ein Softwaredienstprogramm wie Password Safe (siehe sourceforge.net/projects/passwordsafe). Mit einem solchen Tool können völlig zufällige Kennwörter generiert, in verschlüsselter Form gespeichert und direkt in Anmeldefenster eingefügt werden. Bei dieser Art von Tool müssen Sie nicht einmal wissen, wie Ihr Kennwort lautet.

Genau hier liegt aber das Problem: Tipprhythmen können nur dann gemessen werden, wenn der Benutzer das Kennwort eingibt. Wenn das Kennwort in ein Objekt eingeben werden muss, das den Tipprhythmus misst, versagt dieses Verfahren für die Kennwortverwaltung. Ein aus 15 Zeichen bestehendes, völlig zufälliges Kennwort einzugeben, ist keine einfache Aufgabe. Aus diesem Grund entscheiden sich Benutzer im Allgemeinen zum Vereinfachen ihrer Kennwörter, wenn sie mit dieser Art von System konfrontiert werden. Ein aus 15 Zeichen bestehendes, völlig zufälliges Kennwort ist jedoch weitaus sicherer als ein kürzeres Kennwort in Verbindung mit einem unechten mehrstufigen Authentifizierungssystem.

Im Endeffekt zwingt die unechte mehrstufige Authentifizierung, wenn sie ausschließlich implementiert wird, Benutzer dazu, weniger sichere Kennwörter zu verwenden. Sie werden gleich sehen, dass die Unterstützung von Benutzern, die geeignete Verfahren zur Kennwortverwaltung verwenden, praktisch den gesamten Wert aufheben, der von den unechten mehrstufigen Authentifizierungssystemen angeboten wird.

Umgehen der unechten mehrstufigen Anmeldung

Selbst wenn bei einer Website die unechte mehrstufige Authentifizierung implementiert ist, muss immer noch eine Möglichkeit unterstützt werden, das unechte mehrstufige System zu umgehen. Erstens können nur wenige Websites von allen ihren Benutzern verlangen, eine „Viertanbieter“-Technologie zu installieren, um auf die Website zugreifen zu können. Ein Teil der Benutzer (beispielsweise bestimmte Autoren des TechNet Magazins) werden sich immer weigern, diese Art von Software zu installieren.

Zweitens kann sich der Tipprhythmus aus vielen Gründen ändern, und Websites müssen dies berücksichtigen. So könnte sich ein Benutzer beispielsweise das Handgelenk verstauchen, wodurch sich der Tipprhythmus vorübergehend ändert. Wie kann der Betreffende dann auf die Website zugreifen, wenn sein Tipprhythmus analysiert wird und die Website denkt, dass eine andere Person versucht, sich mit den Anmeldeinformationen des Benutzers anzumelden? Wenn die Verletzung permanent wäre, könnte der Benutzer den gespeicherten Rhythmuswert zurücksetzen. Im Fall einer vorübergehenden Verletzung wird der Benutzer den gespeicherten Wert aber wahrscheinlich nicht zurücksetzen wollen, da er annimmt, dass sein Tipprhythmus bald wieder dem ursprünglichen Wert entsprechen wird.

Und schließlich sind nicht alle Benutzer in der Lage, unechte mehrstufige Authentifizierungssysteme zu verwenden. Eine behinderte Person beispielsweise, die mit dem Computer über eine Spracherkennungsschnittstelle interagiert, könnte abhängig davon, ob die programmgesteuerte Eingabe verhindert wird oder nicht, nicht in der Lage sein, das Anmeldefenster auszufüllen. In diesem Fall wird ein Alternativsystem, das behinderten Personen entgegen kommt, wahrscheinlich vom Gesetz her gefordert.

Die einfachste und direkteste Möglichkeit zur Unterstützung aller dieser Szenarios besteht darin, auch die standardmäßige kennwortbasierte Authentifizierung zu unterstützen.

Probleme mit kompromittierten Kennwörtern

Unechte mehrstufige Authentifizierungssysteme sollen verschiedene Probleme im Zusammenhang mit kennwortbasierter Authentifizierung beheben. Diese Systeme behandeln jedoch nicht alle wesentlichen Möglichkeiten, wie Kennwörter kompromittiert werden können. Es gibt fünf primäre Möglichkeiten, wie Systeme kompromittiert werden können, die sich auf die kennwortbasierte Authentifizierung verlassen. „Kompromittiert“ bedeutet in diesem Fall, dass sich ein Angreifer das Kennwort eines Benutzers verschafft und verwendet hat.

  • Erraten von Kennwörtern
  • Tastatureingabeprotokollierung
  • Phishingangriffe
  • Befragen des Benutzers
  • Einbrechen in ein System, auf dem das Kennwort oder ein Hash des Kennworts gespeichert ist

Das Erraten von Kennwörtern ist für Kriminelle keine besonders häufige Angriffsmethode mehr. Sie wird in den Schatten gestellt von Tastatureingabeprotokollierung und Phishing. Das Erraten von Kennwörtern wird durch die unechte mehrstufige Authentifizierung ebenfalls nur teilweise verringert. Ein konventioneller Ansatz beim Erraten eines Kennworts wird einem unechten mehrstufigen Authentifizierungssystem wahrscheinlich nicht entgegenwirken, da der Angreifer sowohl das Kennwort als auch den Tipprhythmus erraten muss. Obwohl es theoretisch möglich wäre, die Tippmetriken künstlich herzustellen, ist dies selten notwendig, da die eigentlichen Daten normalerweise durch einen Phishingangriff oder die Tastatureingabeprotokollierung aufgezeichnet werden können. Wenn das System zudem über eine standardmäßige Anmeldeoberfläche verfügt, die nur per Kennwort zugänglich ist, kann der Angreifer einfach dieses System zum Erraten des Kennworts verwenden.

Außerdem wird Angriffen, bei denen das Kennwort erraten wird, am besten durch sichere Kennwörter entgegengewirkt. Wenn Benutzer lernen, sicherere Kennwörter möglicherweise mithilfe von Tools zu verwenden, ist die unechte mehrstufige Authentifizierung nicht erforderlich. (Im Gegensatz dazu machen einfachere Kennwörter, die in der Regel bei unechten mehrstufigen Authentifizierungssystemen verwendet werden, das Erraten von Kennwörtern zu einem brauchbareren Ansatz.) Daher ist ein Nutzen, der hier zur Begrenzung des Erratens von Kennwörtern angeboten wird, nur dann wirklich von Nutzen, wenn die Implementierung die allein auf dem Kennwort basierende Anmeldung nicht unterstützt. Wie ich bereits dargelegt habe, ist dies selten möglich, wenn überhaupt. Das heißt, wenn Benutzer schwächere Kennwörter im Zusammenhang mit unechten mehrstufigen Authentifizierungssystemen verwenden, kann das Erraten von Kennwörtern wieder zu einer nützlichen Angriffsmethode werden. Die unechte mehrstufige Authentifizierung würde die Sicherheit also verringern, statt sie zu erhöhen. Diese Frage sollte weiter untersucht werden.

Die unechte mehrstufige Authentifizierung versagt auch beim Problem der Tastatureingabeprotokollierung. Obwohl ich keine heute verwendete Tastatureingabeprotokollierung kenne, die den Tipprhythmus erfasst, gibt es absolut keinen Grund, warum sie nicht entwickelt werden könnte. Eine Tastatureingabeprotokollierung ist eine Hardwarekomponente, die zwischen Tastatur und Computer geschaltet ist, oder Software, die Tastaturanschläge aufzeichnet. In beiden Fällen hat die Protokollierung vollständigen Zugriff auf alle Daten, die von der unechten mehrstufigen Authentifizierungslösung verwendet werden.

Tatsächlich kann die Tastatureingabeprotokollierung sogar auf noch mehr Daten zugreifen, da eine Authentifizierungslösung im Benutzermodus ausgeführt wird, während eine Tastatureingabeprotokollierung auf einer viel tieferen Ebene angesiedelt ist. Ohne vertrauenswürdigen Pfad zwischen der Tastatur und dem webbasierten Objekt, mit dem das Kennwort erfasst wird, ist es unmöglich, diese Art von Beeinträchtigung zu verhindern. Wenn unechte mehrstufige Authentifizierungslösungen allgemein verwendet werden, kann mit Sicherheit davon ausgegangen werden, dass jemand eine solche Tastatureingabeprotokollierung erstellen wird.

Ähnlich lassen sich Phishingangriffe nicht mithilfe der unechten mehrstufigen Authentifizierung abwehren. Statt nur einen gefälschten Anmeldebildschirm zu verwenden, kann der Angreifer ein Flash-Objekt zum Erfassen des Kennworts und des Tipprhythmus verwenden.

Zugegeben, die unechte mehrstufige Authentifizierung kann in einigen Szenarios helfen, in denen das Verfahren des Angreifers nur das Kennwort des Benutzers bereitstellt. Die einfachste Möglichkeit, ein Kennwort von einem Benutzer zu erhalten, besteht darin, ihn danach zu fragen. Schockierenderweise hat sich dies als wirksames Verfahren erwiesen, egal, ob eine Person direkt, per Telefon oder durch Phishingnachrichten danach gefragt wird.

Den Benutzer nach seinem Tipprhythmus zu fragen, wird natürlich weit weniger effektiv sein. Auch wenn eine Unternehmenskennwortdatenbank kompromittiert wird, dürfte der Angreifer wahrscheinlich nur Zugang zu den Kennwörtern erhalten. Aber auch hier gilt wieder, dass diese Angriffe nur verringert werden, wenn das System keine standardmäßige Authentifizierung bereitstellt, die nur per Kennwort erfolgt.

Es sollte auch darauf hingewiesen werden, dass der Angreifer bei einer Kompromittierung der Kennwortdatenbank selbst das System wahrscheinlich viel tiefgreifender beeinträchtigt hat, als dies mit einem einzelnen oder sogar vielen regulären Kennwörtern für Benutzerkonten möglich wäre. Folglich ist es eigentlich nicht stichhaltig zu versuchen, das einzugrenzen, was ein Angreifer tun kann, der in Besitz einer Kennwortdatenbank ist.

Einige Vorteile

Der Fairness halber muss ich zugeben, dass es ein paar Probleme gibt, bei denen die unechte mehrstufige Authentifizierung zu einer Lösung beitragen kann (vorausgesetzt, dass das System keine allein auf dem Kennwort basierende Anmeldung erlaubt). Sie kann beispielsweise zum Verhindern der Kennwortfreigabe verwendet werden. Dies kann jedoch ein Nachteil bei Systemen sein, bei denen es legitim ist, dass mehrere Benutzer Konten gemeinsam nutzen, beispielsweise bei gemeinschaftlichen Bankkonten.

Zudem könnte ein richtig erstelltes, interaktives Anmeldefenster (keine Websiteanmeldung) einen Benutzer zwingen, zusätzliche Authentifizierungsschritte zu durchlaufen, wenn der Tipprhythmus nicht dem gespeicherten Tipprhythmus entspricht. Dies kann zusätzliche Sicherheit bei einem kompromittierten Konto in einer hochsensiblen Umgebung bieten.

Irreführung von Benutzern durch Eye Candy

Eine der besten Möglichkeiten, Benutzer zu verwirren, besteht darin, inkorrekte Sicherheitsanzeigen bereitzustellen. Die häufigste ist wahrscheinlich das Bild des Vorhängeschlosses, das auf einer Webseite angezeigt wird, wie in Abbildung 1 dargestellt. Diese Seite geht sogar so weit, neben dem Vorhängeschloss das Wort „Sicher“ anzuzeigen.

fig01.gif

Abbildung 1 Ein Beispiel für den Missbrauch des Bilds des Vorhängeschlosses, wobei es sich um einen beunruhigenden Trend handelt (zum Vergrößern auf das Bild klicken)

Sie werden wahrscheinlich wissen, dass das Bild eines Vorhängeschlosses und das Wort „Sicher“ auf einer Seite diese nicht sicher machen. Diese Praxis ist aber beunruhigend häufig anzutreffen, selbst bei sehr seriösen, populären Websites. Dies führt dazu, dass viele Benutzer nach diesen sichtbaren Sicherheitshinweisen im Text der Webseite suchen, statt dort, wo sie tatsächlich etwas bedeuten, nämlich in der Adressleiste. (Das W3C Web Security Context Wiki hat einen Eintrag zu diesem Problem, verfügbar unter w3.org/2006/WSC/wiki/PadlockIconMisuse.)

Leider gibt es immer noch sehr viele Beispiele für diesen Missbrauch. Untersuchungen haben gezeigt, dass Benutzer schädliche Websites selbst dann nicht identifizieren können, wenn die Zertifikate sehr offensichtlich sind (siehe www.usablesecurity.org/papers/jackson.pdf). Es kommt ganz auf die Fähigkeit an, eine Fälschung von der echten Website zu unterscheiden, selbst wenn die echte Website zum Vergleich nicht zur Verfügung steht. Dazu ist Geschick erforderlich. Irreführendes Sicherheits-Eye Candy auf Webseiten behindert die Entwicklung dieser Fähigkeit, da Benutzer von den falschen Informationen angezogen werden.

Eine besonders beunruhigende Variante dieses Problems ist in Abbildung 2 dargestellt. In diesem Fall ist die Seite, die die Informationen anzeigt, nicht sicher. In der Adressleiste sehen Sie „http“, womit das Protokoll angezeigt wird. Diese Website verwendet eine sehr häufige Optimierungstechnik. Statt die Seite zu verschlüsseln, die das Anmeldeformular enthält, wird nur die Übermittlung des Formulars verschlüsselt. Die Anmeldung ist sicher, wie es auf der Seite heißt, solange Sie „verschlüsselt“ mit „sicher“ gleichsetzen. Der Benutzer hat jedoch vor dem Senden keine Möglichkeit zu überprüfen, wohin die Anmeldeinformationen gesendet werden, und genau das ist der springende Punkt. Die Website zeigt kein Zertifikat, das die Website gegenüber dem Benutzer authentifiziert, bevor das Formular übermittelt wird. Es ist ein Spiel des Vertrauens, ähnlich wie ein Sich-rückwärts-fallen-Lassen, bei dem Sie annehmen, das die Person hinter Ihnen Sie auffangen wird. Wenn das Formular übermittelt wurde, kann der Schaden bereits angerichtet sein.

fig02.gif

Abbildung 2 Sicherheits-Eye Candy auf einer nicht sicheren Seite (zum Vergrößern auf das Bild klicken)

Secure Sockets Layer (SSL), das Protokoll, das die Sicherheit in HTTPS bereitstellt, dient zwei wichtigen Zwecken. Erstens authentifiziert es den Server gegenüber dem Benutzer. Zweitens bietet es eine einfache Methode, einen Sitzungsverschlüsselungsschlüssel auszuhandeln, der zwischen Client und Server verwendet werden kann.

Wenn nur die eigentliche Übermittlung des Formulars verschlüsselt ist, wird das erste und wichtigste Ziel nicht erreicht. Websites, die diese Optimierung einsetzen, verwenden SSL nur als Möglichkeit, Schlüssel auszuhandeln. Ironischerweise könnten sie dies einfach durch Einsetzen eines standardmäßigen Schlüsselaushandlungsprotokolls tun und dadurch die Kosten und den Aufwand von SSL vermeiden.

Die in Abbildung 2 dargestellte Website ist keine Seltenheit. Viele Websites stellen SSL-Schutz nur für die Übermittlung des Formulars bereit, aber nicht für das Formular selbst. Diese Website weist jedoch eine noch beunruhigendere Eigenschaft auf. Wenn Sie https://www.<site>.com in die Browseradressleiste eingeben (beachten Sie die sichere https-Anzeige), leitet die Website Sie zur Nicht-SSL-Version der Website um! Selbst wenn Sie versuchen, ein Zertifikat zu prüfen, bevor Sie Ihre Anmeldeinformationen an die Website senden, weigert sich die Website, Ihnen das Zertifikat zu zeigen.

Nicht alle Websites sind so schlecht, aber es gibt viele, auf die dies zutrifft. Zwei der größten Kreditkartengesellschaften in den USA zählen zu den Missetätern. Tatsächlich stellt von den drei großen Kreditkartenunternehmen, die ich verwende, nur American Express im Anmeldeformular ein Zertifikat bereit. American Express leitet sogar HTTP-Anforderungen nach HTTPS um. Alle Achtung!

Ein letzter Gedanke in Bezug auf bedeutungsloses Sicherheits-Eye Candy und den Mangel an Zertifikaten im Anmeldeformular. Vielleicht fragen Sie sich, warum eine Website so verfahren würde. Es geschieht einfach aus Gründen der Wirtschaftlichkeit. Für das Anzeigen von Zertifikaten ist das Verschlüsseln der Seite erforderlich, und beim Verschlüsseln der Seite entsteht Verarbeitungsaufwand. Verarbeitungsaufwand bedeutet, dass mehr Computer für dieselbe Last erforderlich sind. Mehr Computer kosten mehr Geld. Wenn die Wahl zwischen dem Datenschutz der Kunden und höheren Gewinnen besteht, entscheiden sich viele Unternehmen leider für die höheren Gewinne.

Öffnen oder nicht öffnen

Kürzlich erhielt ich eine erstaunliche E-Mail-Nachricht von meiner Krankenkasse. Jeder, der in den letzten 10 Jahren einen Computer verwendet hat, weiß, dass er nicht angeforderte E-Mail-Anlagen nicht öffnen sollte. Sie können sich sicherlich meine Überraschung vorstellen, als ich die in Abbildung 3 dargestellte Nachricht erhielt.

fig03.gif

Abbildung 3 E-Mail-Nachricht mit einer „sicheren Anlage“ (zum Vergrößern auf das Bild klicken)

Offenbar hatte ich auf der Website der Krankenkasse eine Frage gestellt (und dies bereits vergessen, als die verdächtige Nachricht eintraf). Und so antwortete das Unternehmen. Zuerst dachte ich, es handle sich um einen raffinierten Phishingplan. Als ich erkannte, dass es eine legitime Nachricht war, standen mir die Haare zu Berge.

Die erste Anweisung besteht darin, auf die Anlage zu doppelklicken, um die Nachricht zu entschlüsseln. Die Sicherheitscommunity und IT-Administratoren haben die letzten 10 Jahre damit verbracht, Benutzern beizubringen, dass sie NICHT auf Anlagen doppelklicken sollen. Und dann kommt ein Unternehmen daher (meine Krankenkasse ist übrigens nicht die einzige Organisation, die diesen Ansatz verwendet) und erklärt, dass ich aus Gründen der Sicherheit auf die Anlage klicken soll. Wie soll sich der Benutzer in einer solchen Situation verhalten? Welches Verhalten erlernt oder vergisst er?

Als Nächstes verwendete ich das Vorschaufeature in Microsoft® Office Outlook® 2007 zum Anzeigen des Inhalts. Wie Sie in Abbildung 4 sehen können, hielt Outlook diese Nachricht für einen möglichen Angriff und warnte mich davor, sie zu öffnen!

fig04.gif

Abbildung 4 Outlook 2007 betrachtet das sichere Dokument als schädlich (zum Vergrößern auf das Bild klicken)

Es ist sowohl eine Ironie als auch traurig, dass eine Krankenkasse gegen diese sehr grundlegenden Sicherheitsprüfungen verstößt, die im weltweit populärsten E-Mail-Client verwendet werden. In Anbetracht der Tatsache, dass dieses Unternehmen seine neue Sicherheitslösung nicht einmal mit Outlook getestet hat, muss ich mich fragen, was dieses Unternehmen sonst noch zum Schutz meiner Daten tut. Oder, um es frei heraus zu sagen: Welche anderen Lösungen werden von dem Unternehmen allein zu dem Zweck implementiert, nicht des unzureichenden Schutzes von Personendaten beschuldigt zu werden? Das Ganze ähnelt dem Sicherheitstheater der Finanzinstitute. In diesem Fall ist meiner Meinung nach das Vermeiden von Beschuldigungen und nicht der Schutz des Kunden das Hauptziel der Lösung.

Ich wollte sehen, wobei es sich bei der Anlage wirklich handelte. Es stellte sich als ein ActiveX®-Steuerobjekt heraus. Um mir die Anlage ansehen zu können, musste ich sie in Internet Explorer® öffnen und das Objekt installieren. Mir wurde der beruhigende Bildschirm in Abbildung 5 angezeigt. Wie Sie sehen können, haben die Designer einiges unternommen, damit die Nachricht wie ein normaler Briefumschlag aussieht. Er ist sogar mit einem Stempel versehen, der behauptet, der Umschlag sei vertrauenswürdig.

fig05.gif

Abbildung 5 Das sichere Dokument zeigt einen Umschlag mit dem Stempel „Vertrauenswürdig“ (zum Vergrößern auf das Bild klicken)

Diese Art von Technologie ist aus vielen Gründen beunruhigend. Erstens verstärkt sie ein sehr schlechtes Verhalten auf Benutzerseite, nämlich das Öffnen nicht angeforderter Anlagen. Zweitens ist in der eigentlichen Nachricht eine sehr schlechte Anweisung enthalten, das System so zu konfigurieren, dass Anlagen immer ohne Aufforderung geöffnet werden. Drittens scheint die Nachricht angesichts sich widersprechender Meldungen des Computers, denen zufolge die E-Mail besagt, dass sie vertrauenswürdig ist, und Outlook, dass sie nicht vertrauenswürdig ist, sehr verdächtig. Schließlich enthält die eigentliche Anlage bedeutungslosen Sicherheits-Eye Candy, der den Benutzer davon überzeugen soll, dass sie tatsächlich vertrauenswürdig ist. Wenn der Benutzer lernt, solchen Nachrichten zu vertrauen, ist es nur ein kleiner Schritt, dass schädlichen Nachrichten mit ähnlichem Aussehen ebenfalls vertraut wird.

Bereitstellen sicherer Kommunikation

Zugegeben, das Problem, auf das diese Technologie abzielt, ist sehr wichtig. Vertrauenswürdige Kommunikation mit Kunden ist schwierig. Diese Lösung ist jedoch „überzüchtet“. Sie dürfte den Kunden verwirren und führt möglicherweise zu einem ganz anderen Ergebnis als dem, das eigentlich erzielt werden sollte: Das System des Kunden wird kompromittiert.

Besser entworfene Websites verwenden heute ein „Nachrichtencenter“. Wenn das Unternehmen mit dem Kunden kommunizieren muss, sendet es eine E-Mail-Nachricht, die etwa Folgendes besagt: „Für Sie ist eine Nachricht im Nachrichtencenter vorhanden. Bitte besuchen Sie unsere Website, melden Sie sich an, und klicken Sie auf den Link zum Nachrichtencenter, um sich die Nachricht anzeigen zu lassen.“ Ein Unternehmen erhält Bonuspunkte, wenn es Secure Multipurpose Internet Mail Extensions (S/MIME) zum Signieren aller E-Mail-Nachrichten an den Kunden verwendet, sodass der Benutzer die Quelle authentifizieren kann. Es gibt einen weiteren Bonus, wenn die Nachricht keine Elemente wie „Bitte auf diesen Link klicken“ in der E-Mail enthält. Der Benutzer sollte die URL des Unternehmens manuell eingeben, um sicherzugehen, dass er die erwartete Website aufruft.

Mit einem Nachrichtencenter und einer signierten Nachricht kann ein Unternehmen einen vertrauenswürdigen Pfad für die Kommunikation mit dem Kunden erzielen. Alles, was der Kunde während des Nachrichtenworkflows sieht, ist authentifiziert, und das Unternehmen unterstützt keine schlechten Sicherheitsmaßnahmen.

Es geht um den Datenschutz

In den ersten beiden Ausgaben dieser Reihe wurde beschrieben, wie Sicherheitsfachleute Benutzern einen schlechten Dienst erweisen. Unsere Aufgabe besteht darin, die Sicherheit zu gewährleisten. Viele Entscheidungen, die getroffen werden, und Lösungen, die implementiert werden, verwirren aber den Benutzer und lehren ihn, schlechte Entscheidungen zu treffen, wobei er gleichzeitig in Sicherheit gewiegt wird. Wir sollten Benutzer mit diesen widersprüchlichen Ideen nicht überfordern.

Wie bereits erwähnt, geht es für die breite Masse der Benutzer bei der Sicherheit einfach um den Schutz von Kennwörtern und Kreditkartennummern. Die Betreffenden wünschen sich Technologie, die funktioniert und vertrauenswürdig ist. Leider müssen sie Entscheidungen treffen, und es ist unsere Aufgabe sicherzustellen, dass es fundierte Entscheidungen sind.

Im letzten Teil dieser Reihe geht es darum, wie einige der wichtigsten Technologien, die Verbrauchern zur Verfügung stehen, nicht die Erwartungen erfüllen. Ich werde auch meinen „Ruf zu den Waffen“ präsentieren. Lesen Sie daher bitte die Rubrik „Sicherheit auf dem Prüfstand“ im September 2008.

Jesper M. Johansson ist Softwarearchitekt mit dem Schwerpunkt Sicherheitssoftware und schreibt redaktionelle Beiträge für das TechNet Magazin. Er hat seine Doktorarbeit zum Thema Management Information Systems geschrieben, verfügt über mehr als 20 Jahre Erfahrung auf dem Gebiet der Sicherheit und ist Microsoft-MVP (Most Valuable Professional) im Bereich Unternehmenssicherheit. Sein aktuelles Buch ist das Windows Server 2008 Security Resource Kit.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.