Suche

Anzeige

Forscher knacken Industriestandard für Identifizierung

Webshops, Cloud Computing, Online-Banking: Tagtäglich fordern viele unterschiedliche IT-Systeme den Nutzer auf, sich immer wieder über Benutzername und Passwort zu identifizieren. Als praktisches Mittel gegen die Flut von Mehrfachanmeldungen gilt das so genannte „Single Sign-On“. Dass die Einmal-Anmeldung jedoch längst nicht so sicher ist wie bislang angenommen, zeigen jetzt Forscher vom Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum: Ungefähr 80 Prozent der untersuchten Systeme wiesen massive Sicherheitslücken auf.

Anzeige

Das „Single Sign-On“-Verfahren, kurz SSO, kann mit einem gut bewachten Tor verglichen werden, das die sensiblen Firmendaten schützt: Wer den Eingang einmal passiert hat, kann auf alle Informationen und Dienste zugreifen, denn er gilt als angemeldet und zugriffsberechtigt. Viele SSO-Systeme setzen auf die weit verbreitete Security Assertion Markup Language (SAML). Die Identitätsinformationen werden in einer SAML-Nachricht gespeichert und durch eine digitale Signatur geschützt. Doch die Bochumer Forscher fanden einen Weg, diesen Schutz zu umgehen.

Sicherheitsfunktion ausgehebelt

„Mit einem neuartigen XML Signature Wrapping-Angriff haben wir sämtliche Sicherheitsfunktionen der digitalen Signatur komplett ausgehebelt“, berichtet Prof. Dr. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. „Dadurch konnten wir uns jede beliebige Identität aneignen und uns sogar als Systemadministratoren ausgeben“. Die Wissenschaftler testeten 14 weit verbreitete SAML-Anbieter und -Systeme. Davon wiesen zwölf kritische Lücken auf. Anfällig waren unter anderem der Cloud-Anbieter Salesforce, das IBM DataPower Security Gateway, Onelogin (benutzt in Joomla, WordPress, SugarCRM und Drupal) und das Framework OpenSAML (Shibboleth, SuisseID und OpenSAML).

Gegenmaßnahmen vorgeschlagen

„Nachdem wir die Sicherheitslücken entdeckt hatten, kontaktierten wir umgehend die betroffenen Firmen und schlugen Gegenmaßnahmen vor“, berichtet der Sicherheitsexperte und externe Doktorand Andreas Mayer (Adolf Würth GmbH & Co. KG). „Durch die professionelle Zusammenarbeit mit den Herstellern konnten die kritischen Schwachstellen in den betroffenen Produkten geschlossen werden“, ergänzt Juraj Somorovsky vom Lehrstuhl für Netz- und Datensicherheit.

Kommunikation

Twitter kennt dich genau: Wie Algorithmen aus 144 Metadaten das Leben der Nutzer rekonstruieren

Jeder Tweet übermittelt 144 Metadaten, hat die Studie "You are your Metadata" von Wissenschaftlern aus London herausgefunden. Mit Hilfe der Informationen lassen sich die Leben der Twitter-Nutzer per Algorithmus rekonstruieren, selbst die Verschleierung sei ineffektiv, heißt es. Der teils unbedarfte Umgang der Nutzer mit Daten sei das Hauptproblem, so die Forscher. mehr…

Anzeige

Absatzwirtschaft Newsletter

absatzwirtschaft Newsletter schon abonniert?

Newsticker

Ausruf der „China-Brand-Initiative“: China entdeckt die Macht der Marken

Die Chinesen sind schlau, sehr schlau. Wenn sie ein Problem oder eine Chance…

Zwei der größten Unternehmen aus China und Deutschland unterschreiben strategische Partnerschaft

Suning Holdings Group und SAP SE: Diese beiden Unternehmen wollen gemeinsam fortgeschrittene Forschung…

BVDW veröffentlicht Verhaltenskodex: Wie sich Agenturen im Content-Marketing-Dschungel verhalten sollen

Mehr Ordnung im Chaos Content-Marketing: Der Bundesverband Digitale Wirtschaft (BVDW) hat dafür nun…

Anzeige

Das könnte Sie auch interessieren

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Anzeige