Fraunhofer-Forscherteam zeigt, wie sich falsche Webzertifikate ausstellen lassen

Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt hat eine Möglichkeit gefunden, betrügerische Website-Zertifikate auszustellen. Diese Zertifikate sollen die Vertrauenswürdigkeit von Internet-Domains sicherstellen. Das Team um Dr. Haya Shulman hat gezeigt, dass eine Schwachstelle in der Domänenvalidierung ausgenutzt werden kann und deshalb die Sicherheit von Internet-Infrastrukturen verbessert werden muss. Die Forscher haben betroffene Web-CAs (Zertifikats-Ausgabestellen) informiert und stellen eine Implementierung vor, die Web-CAs verwenden können, um den Angriff abzuschwächen. Weitere Informationen unter www.sit.fraunhofer.de/dvpp.

Webzertifikate sind die Grundlage des SSL-/TLS-Protokolls, das die meisten Websites schützt, wie beispielsweise Mailanbieter und geschäftliche Anwendungen, Online-Handelsplattformen und Online-Banking. Wenn eine Website ein gültiges Zertifikat vorweist, signalisiert der Browser dies dem Nutzer, beispielsweise durch ein grünes Vorhängeschloss vor der URL. Dies soll dem Benutzer zeigen, dass die Identität der Website verifiziert und die Seite vertrauenswürdig ist. Das Team des Fraunhofer SIT hat demonstriert, dass diese Vertrauenswürdigkeit auf falschen Annahmen beruht und Nutzer leicht dazu verleitet werden können, ihre geheimen Passwörter und Daten an betrügerische Phishing-Websites zu senden.

Zertifikate werden von sogenannten Web-CAs (Certificate Authorities) ausgestellt. Praktisch alle gängigen Web-CAs verwenden eine Methode namens Domain Validation (DV), um die Identität einer Website zu verifizieren, bevor sie ein Zertifikat für diese Website ausstellen. Das Fraunhofer-Team hat dargelegt, dass die Domain Validation grundsätzlich fehlerhaft ist. Folglich können viele Web-CAs getäuscht werden, sodass sie falsche Zertifikate ausgeben. Ein Cyberkrimineller könnte also einen Angriff auf eine Web-CA durchführen, um ein betrügerisches Zertifikat zu erhalten – z. B. für einen bekannten Online-Händler. Dann müsste er nur noch eine Website einrichten, die diesen Online-Shop perfekt nachahmt, um Kunden-Zugangsdaten abzugreifen.

Das von Dr. Haya Shulman geleitete Fraunhofer-Team hat eine Reihe bekannter Sicherheitslücken im Domain Name System (DNS) ausgenutzt. DNS funktioniert wie ein Telefonbuch oder die Gelben Seiten des Internets, es bildet die Domainnamen auf Internetadressen ab. Cybersicherheits-Forscher kannten diese Sicherheitslücken im DNS und ihre möglichen Auswirkungen auf die Domain Validation. Aber bisher galt dies als ein eher theoretisches Risiko, das nur ein finanziell und ressourcentechnisch sehr gut ausgestatteter Angreifer – etwa auf nationaler Ebene – hätte ausnutzen können. Das Team hat zum ersten Mal gezeigt, dass dieses Risiko tatsächlich viel realer ist als bisher angenommen. „Während die Details unseres Angriffs technisch ziemlich kompliziert sind, erfordert die Ausführung des Angriffs keine spezielle Rechenleistung; man muss auch nicht den Internetverkehr abfangen. Man braucht nicht mehr als ein Laptop und eine Internetverbindung“, sagt Dr. Haya Shulman vom Fraunhofer SIT.

Das Team hat die deutschen Sicherheitsbehörden und Web-CAs informiert. Zur Abschwächung der Sicherheitslücke haben die Forscher eine verbesserte Version von DV entwickelt, DV ++. Diese kann DV ohne weitere Modifikationen ersetzen und wird kostenlos zur Verfügung gestellt unter www.sit.fraunhofer.de/dvpp. Die Forscher stellen die Details dieses Angriffs sowie DV++ auf der ACM-Konferenz für Computer- und Kommunikationssicherheit (ACM CCS) in Toronto, Kanada, im Oktober dieses Jahres vor.

Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

Kontakt
Fraunhofer-Institut für Sichere Informationstechnologie
Oliver Küch
Rheinstraße 75
64295 Darmstadt
+49 6151 869-213
oliver.kuech@sit.fraunhofer.de
http://www.sit.fraunhofer.de

Parlamentarischer Abend: CCF AG eröffnet Diskussion um Folgen der Datenschutz-Grundverordnung

Deutschland, Deine Daten

Unter dem Motto „Deutschland, Deine Daten“ hat das Systemhaus CCF AG am 21. November mit seinem Kooperationspartner 8MAN einen Parlamentarischen Abend im Deutschen Bundestag zur Datenschutz-Grundverordnung veranstaltet. Im Zentrum der Diskussion standen die Auswirkungen dieses Gesetzes besonders für den Mittelstand. Auf dem Podium debattierten die beiden Bundestagsabgeordneten Alexander Kulitz (FDP) und Philipp Amthor (CDU) gemeinsam mit Dirk Franz, CEO der CCF AG, und Matthias Schulte-Huxel, CSO von 8MAN, daher vor allem über die praktischen und wirtschaftlichen Folgen für die Unternehmen – und wie die Datenschutz-Grundverordnung im Verein mit dem Bundesdatenschutzgesetz zu bewerten ist.

Obwohl alle Teilnehmer im Grundsatz die Verordnung, das Gesetz und hohe Datenschutzstandards befürworteten, kritisierten sie die konkrete Ausgestaltung teilweise scharf. Im Grundansatz wurde die Verordnung zwar als vernünftig angesehen. Datenschutz könne damit sogar ein Standvorteil sein. Er ist aber ein Standortnachteil für Deutschland, wenn die Anforderungen zu hoch sind – wie es jetzt der Fall ist. Die aktuelle Datenschutz-Grundverordnung sei daher ein Fiasko.

Im Verlauf der Diskussion ließen die Gesprächsteilnehmer mitunter kein gutes Haar an der Datenschutz-Grundverordnung. So wurden die vielen Widersprüche und Unklarheiten moniert und dass Unternehmen selbst bei gutem Willen unmöglich alles einhalten können. Zudem wurden die scharfen Sanktionen bemängelt, die eher zum amerikanischen Rechtssystem passten als zum Deutschen.

Angesichts der Rechtsunsicherheit warnte Dirk Franz von der CCF AG vor professionellen Abmahnvereinen mit staatlichem, ideologischen oder kommerziellen Hintergrund: „Zudem bereiten Unternehmen schon Listen vor, mit denen sie die Konkurrenz anschwärzen können.“ Daneben forderte Franz, die Grenze zur Bestellung eines Datenschutzbeauftragten in Deutschland von 10 auf 250 Mitarbeitern (die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) heraufzusetzen. Insgesamt verlangte er eine bessere Kommunikationsarbeit und mehr Aufmerksamkeit für das Thema vor allem von Seiten der Politik.

Matthias Schulte-Huxel von 8MAN sieht noch großen Handlungsbedarf bei den Unternehmen selbst: „Der deutsche Mittelstand ist in keinster Weise auf diese Verordnung vorbereitet, ja er ist sogar überfordert. Den deutschen C-Level-Entscheidern wird erst jetzt das Ausmaß der DSGVO bewusst.“

Vor dem Hintergrund der teilweise pessimistischen Einschätzungen schien den Diskussionsteilnehmern nun Schadensbegrenzung angezeigt. So machten die großen Mängel der Datenschutzgrundverordnung in den Augen der Gesprächsteilnehmer bereits jetzt schon eine baldige Gesetzesreform nötig.

Weitere Informationen unter: www.ccf.de

.

Kontakt
CCF AG
Dirk Franz
Boschstrasse 1
64347 Griesheim
06155 6668-0
info@ccf.de
http://www.ccf.de

8MAN eröffnet mit Parlamentarischen Abend Diskussion um Folgen der Datenschutz-Grundverordnung

Deutschland, Deine Daten

Unter dem Motto „Deutschland, Deine Daten“ hat 8MAN am 21. November mit dem Partner CCF AG einen Parlamentarischen Abend im Deutschen Bundestag zur Datenschutz-Grundverordnung veranstaltet. Im Zentrum der Diskussion standen die Auswirkungen dieses Gesetzes besonders für den Mittelstand. Auf dem Podium debattierten die beiden Bundestagsabgeordneten Alexander Kulitz (FDP) und Philipp Amthor (CDU) gemeinsam mit Matthias Schulte-Huxel, CSO von 8MAN, und Dirk Franz, CEO des Systemhauses CCF AG, daher vor allem über die praktischen und wirtschaftlichen Folgen für die Unternehmen – und wie die Datenschutz-Grundverordnung im Verein mit dem Bundesdatenschutzgesetz zu bewerten ist.

Obwohl alle Teilnehmer im Grundsatz die Verordnung, das Gesetz und hohe Datenschutzstandards befürworteten, kritisierten sie die konkrete Ausgestaltung teilweise scharf. Im Grundansatz wurde die Verordnung zwar als vernünftig angesehen. Datenschutz könne damit sogar ein Standortvorteil sein. Er ist aber ein Standortnachteil für Deutschland, wenn die Anforderungen zu hoch sind – wie es jetzt der Fall ist. Die aktuelle Datenschutz-Grundverordnung sei daher ein Fiasko.

Im Verlauf der Diskussion ließen die Gesprächsteilnehmer mitunter kein gutes Haar an der Datenschutz-Grundverordnung. So wurden die vielen Widersprüche und Unklarheiten moniert und dass Unternehmen selbst bei gutem Willen unmöglich alles einhalten können. Zudem wurden die scharfen Sanktionen bemängelt, die eher zum amerikanischen Rechtssystem passten als zum Deutschen.

Matthias Schulte-Huxel von 8MAN sieht daneben noch großen Handlungsbedarf bei den Unternehmen selbst: „Der deutsche Mittelstand ist in keinster Weise auf diese Verordnung vorbereitet, ja er ist sogar überfordert. Den deutschen C-Level-Entscheidern wird erst jetzt das Ausmaß der DSGVO bewusst. Denn die rechtssichere und compliante Verwaltung von Berechtigungen hat nun ganz realwirtschaftliche Konsequenzen. Wir möchten mit unserer Aufklärungsarbeit ein Stück dazu beitragen, die Tragweite der Verordnung greifbar zu machen.“ Matthias Schulte-Huxel kritisierte hierbei auch die Kommunikationspolitik der Bundesregierung und der Verantwortlichen für den Datenschutz: „Die Unternehmen wurden überhaupt nicht richtig adressiert. Es wurden vor allem Administratoren und Rechtsfachkräfte adressiert, nicht aber die Entscheider mit Budget- und Strategieverantwortung. Wir brauchen dringend mehr Aufmerksamkeit für das Thema, besonders auch von der Politik.“

Vor dem Hintergrund der teilweise pessimistischen Einschätzungen schien den Diskussionsteilnehmern nun Schadensbegrenzung angezeigt. Dirk Franz von der CCF AG, der vor professionellen Abmahnvereinen mit staatlichem, ideologischen oder kommerziellen Hintergrund warnte, forderte, die Grenze zur Bestellung eines Datenschutzbeauftragten in Deutschland von 10 auf 250 Mitarbeitern (die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) heraufzusetzen. Angesichts der großen Mängel der Datenschutzgrundverordnung gingen die Gesprächsteilnehmer davon aus, dass innerhalb der nächsten fünf Jahre eine Gesetzesreform kommen müsse.

Release 9.0 sorgt für verbessertes Nutzererlebnis
Zugleich hat 8MAN einen neuen technologischen Sprung bei seiner Software gemacht und wird im Dezember 2017 das Release 9.0 für alle Nutzer offerieren. CEO Stephan Brack: „Das Release 9.0 macht die Anwendung von 8MAN für alle Nutzer komfortabler und schlanker. Mehr denn je ist es auch für Führungskräfte unerlässich, den Datenschutz aktiv zu managen.“

Weitere Informationen unter www.8man.com/de

8MAN ( www.8man.com) ist eine führende Lösung für Access Rights Management (ARM) in Microsoft-Umgebungen und schützt damit Unternehmen vor unberechtigten Zugriffen auf sensible Daten. Die 8MAN Kernfunktionen umfassen: Permission Analysis, Security Monitoring, Documentation & Reporting, Role & Process Optimization und User Provisioning. Die in Deutschland von Protected Networks entwickelte Software-Lösung setzt Maßstäbe für professionelle Netzwerksicherheit sowie agile IT-Organisation und bündelt modernste Funktionalität mit der Erfüllung gängiger Sicherheits- und Compliance-Richtlinien.

Kontakt
Protected Networks GmbH
Evelyn Seeger
Alt-Moabit 73
10555 Berlin
+49 (0)30 390 63 45 62
presse@protected-networks.com
http://www.protected-networks.com

Darmstadt wird „Digital Hub für Cyber Security“

Eröffnung des neuen Digital Hub-Schwerpunkts für Cyber Security in Darmstadt – Unterstützung für Start-ups und Innovationen

Das Bundeswirtschaftsministerium hat im Rahmen der „Digital Hub Initiative“ die Region Frankfurt-Darmstadt zu einem der herausragenden Knotenpunkten für die digitale Transformation der Wirtschaft erklärt. Darmstadt wird hierbei die Rolle des Digital Hub für Cyber Security übernehmen, in Ergänzung zu dem bereits 2016 benannten Digital Hub für FInTech in Frankfurt am Main. Eröffnet wurde der neue Hub heute mit dem Besuch von Dr. Andreas Goerdeler vom Bundesministerium für Wirtschaft und Energie in Darmstadt. Dort traf er Start-ups sowie Vertreter aus Politik, Wirtschaft und Wissenschaft, die das besondere Ökosystem zur Cybersicherheit in Darmstadt weiter verbessern und digitale Innovationen vorantreiben wollen.

Die Wissenschaftsstadt Darmstadt ist bereits heute ein führender Innovationsstandort für Cybersicherheit in Deutschland. Er verbindet namhafte Unternehmen und Forschungseinrichtungen mit einer lebendigen, technologieorientierten Start-up-Szene: Das Center for Research in Security and Privacy (CRISP) ist das größte Forschungszentrum für Cybersicherheit in Europa und verbindet die Technische Universität Darmstadt, die Hochschule Darmstadt und die beiden Fraunhofer-Institute SIT und IGD. Das Competence Center for Applied Security Technology (CAST e. V.) ist mit 251 Mitgliedern das größte Unternehmensnetzwerk für Cybersicherheit im deutschsprachigen Raum.

Zitate

Prof. Dr. Michael Waidner, Leiter des Fraunhofer SIT und Sprecher des Center for Research in Security and Privacy (CRISP): „Weltweit boomt der Markt für Cybersicherheit. In Israel und den USA gehört Cybersicherheit deshalb zu den aktivsten Bereichen für Start-ups. Deutschland gehört zu den forschungsstärksten Standorten für Cybersicherheit, hinkt bei den Start-ups aber deutlich hinterher. Es freut mich sehr, dass die Bundesregierung mit der Entscheidung für das Thema Cybersicherheit und den Standort Darmstadt das Potenzial erkannt hat, und nun gemeinsam mit uns die Voraussetzungen dafür schafft, auch hier eine aktive und reihhaltige Start-up-Kultur im Bereich Cybersicherheit zu schaffen. Die Fraunhofer-Gesellschaft unterstützt nachdrücklich diese Initiative und hat beispielsweise im Dezember 2016 hier in Darmstadt ein Fraunhofer-Leistungszentrum zum Thema Cybersicherheit gegründet und gemeinsam mit dem Generalkonsul von Israel einen Accelerator speziell für Cybersicherheit angekündigt.“

Prof. Dr. Kristina Sinemus, Präsidentin der Industrie- und Handelskammer (IHK) Darmstadt Rhein Main Neckar: „Wir freuen uns sehr, dass Darmstadt die Digital Hub Initiative mit dem Thema CyberSecurity unterstützten wird. Laut Studie EU Cluster Panorama 2014 der EU-Kommission liegt der Regierungsbezirk Darmstadt unter allen EU-Regionen auf Platz 1 in Bezug auf die Existenz starker Cluster in den sogenannten Emerging Industries, also Zukunftstechnologien, denen die EU besondere Bedeutung für das Wachstum in Europa beimisst. Cybersicherheit ist dafür ein essentieller Bestandteil. Damit die Region auch starke Start-ups hervorbringen kann, hat die IHK Darmstadt neben dem vier Millionen Euro starken Innovationsfonds auch die Planungen mit der Wissenschaftsstadt Darmstadt für ein neues Technologie- und Gründerzentrum vorangetrieben. Die neue Location soll ab Herbst 2017 Raum für Co-Working Spaces, Büros, Veranstaltungen und die notwendige technische Infrastruktur bieten und fördert damit eine offene, innovationsfördernde Kultur.“

Jochen Partsch, Oberbürgermeister der Wissenschaftsstadt Darmstadt: „Technologie, Forschung und Innovation gehören zum Kern dessen, was die Wissenschaftsstadt Darmstadt heute ausmacht. Im Zukunftsindex des Instituts der deutschen Wirtschaft belegte Darmstadt 2015 und 2016 deshalb auch zurecht den Spitzenplatz. Darmstadt ist einer der Spitzenreiter in der Digitalisierung, und nirgendwo sonst in Deutschland gibt es eine vergleichbare Ballung von Kompetenz im Bereich der Cybersicherheit. Die Auszeichnung Darmstadts als Digital Hub für Cyber Security ist deshalb konsequent und richtig. Gemeinsam mit unseren Partnern IHK Darmstadt, dem Fraunhofer SIT, der Technischen Universität und der Hochschule Darmstadt werden wir den Ausbau unserer Start-up Förderung auch weiterhin vorantreiben und so Darmstadt zum Security Valley Deutschlands machen.“

Prof. Dr.-Ing. Mira Mezini, Vizepräsidentin der Technischen Universität Darmstadt: „Darmstadts Stärke liegt in der Kombination aus Gründungsinteressierten, Start-ups, der hohen Nachfrage starker Branchen aus der Metropolregion Rhein-Main sowie exzellenter Wissenschaft. Bund und Land Hessen unterstützen die Forschung zur Cybersicherheit in Darmstadt, das seine wissenschaftliche Exzellenz und Führungsrolle in kompetitiven Ausschreibungen bewiesen hat: Hier findet sich die größte Anzahl an Wissenschaftlern, die sich mit dem Thema befassen und die größte Anzahl an Verbundprojekten im Cybersicherheitsbereich.“

Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

Kontakt
Fraunhofer-Institut für Sichere Informationstechnologie
Oliver Küch
Rheinstraße 75
64295 Darmstadt
+49 6151 869-213
oliver.kuech@sit.fraunhofer.de
http://www.sit.fraunhofer.de