Zu einem kritischen Zeitpunkt der Entwicklung von HTML5, dem neuen Kernstandard für das Web, stellt die EU-Agentur für Cyber-Sicherheit Enisa Sicherheitsreparaturen für 13 anstehende Web-Standards vor. Enisa hat eigenen Angaben zufolge 50 Sicherheitsbedrohungen identifiziert und Vorschläge zu deren Handhabung unterbreitet.
Banking, Social Networking, Shopping, Navigation, Kartenzahlungen und selbst der Umgang mit kritischen Infrastrukturen wie Versorgungsnetzwerken – fast jede Aktivität, die man sich vorstellen kann, findet heute innerhalb eines Browser-Fensters statt. „Der Web-Browser ist inzwischen eine der am stärksten sicherheitsrelevanten Komponenten unserer Informationsinfrastruktur – ein immer lukrativeres Ziel für Cyberattacken,“ kommentiert Prof. Udo Helmbrecht, Geschäftsführender Direktor von Enisa.
Um Innovationen in Web-Anwendungen und deren Geschäftsmodelle zu unterstützen und das Web für noch mehr Menschen nutzbar zu machen, arbeitet das W3C („World Wide Web Consortium“) derzeit an grundlegenden Korrekturen seiner Kernstandards.
Enisa habe diese Gelegenheit dazu genutzt, die Spezifikationen zu überprüfen und Verbesserungsvorschläge hinsichtlich der Browser-Sicherheit aller Nutzer zu machen, heisst es. „Bei vielen dieser Spezifikationen gibt es bald kein Zurück mehr. Wir haben ausnahmsweise die Gelegenheit, eingehend über Sicherheit nachzudenken – ehe der Standard unumstösslich wird –, anstatt zu versuchen nachträglich auszubessern. Dies ist eine einmalige Gelegenheit, die Sicherheit schon im Design mit einzuplanen,“ so Giles Hogben, Mitherausgeber des Berichts.
„Wir begrüssen diese sehr frühzeitige Sicherheitsprüfung von Enisa. Wir haben Enisa angehalten, die ermittelten Problematiken den entsprechenden W3C-Arbeitsgruppen mitzuteilen,“ so Thomas Roessler, Leiter für Versorgungssicherheit bei W3C. Die Enisa-Analyse zeigt 50 Sicherheitslücken und Probleme wie:
- Ungeschützter Zugriff auf sensible Informationen
- Neue Methoden zum Triggern von Formularübermittlung an Angreifer
- Probleme bei der Bestimmung und Durchführung von Sicherheitsrichtlinien
- Potenzielle Unstimmigkeiten bei der Rechteverwaltung des Betriebssystems
- Nicht ausreichend spezifizierte Funktionen, die zu widersprüchlichen oder fehleranfälligen Anwendungen führen können.
- Neue Methoden zum Unterlaufen von Zugangskontrollmechanismen und Schutz vor „Click-Jacking“ (den Nutzer dazu verleiten, gefährliche Links und Schaltflächen anzuklicken)
„Eine wichtige Schlussfolgerung aus dieser Studie lautet, dass in den Spezifikationen, die bereits einer ausführlichen Sicherheitsprüfung unterzogen worden sind, weitaus weniger Sicherheitsprobleme gefunden wurden. Das zeigt den Wert fundierter Sicherheitsprüfungen bei zukünftigen Spezifikationen,“ so Marnix Dekker, Mitherausgeber des Berichts.
Der Online-Stellenmarkt für ICT Professionals