All Stories
Follow
Subscribe to c't

c't

Gravierende Sicherheitslücke in Web-Shops
Lotterie Online-Einkauf

Hannover (ots)

Einkaufen im Internet ist trotz Beachtung aller
Sicherheitsregeln derzeit mit hohem Risiko behaftet. Der Grund: Viele
Online-Shops sichern vertrauliche Daten wie Kreditkartennummern mit 
einfach zu knackender Verschlüsselung, so das Computermagazin c't in 
der aktuellen Ausgabe 12/08.
"Solange keine Lösung gefunden ist, würde ich meine Bank- oder 
Kreditkartennummer nur noch im Internet angeben, wenn es wirklich 
sein muss", so c't-Redakteur Jürgen Schmidt. Die c't-Redaktion hat 
4381 Server untersucht und dabei festgestellt, dass etwa jeder 30ste 
einen schwachen Schlüssel benutzt.
Bisher galten der Zusatz "HTTPS" in der Adresse und das zugehörige
Schloss im Browser als Garanten für einen sicheren Übertragungsweg 
von Daten, etwa beim Bezahlen in einem Online-Shop. Doch wie sich im 
Mai herausstellte, haben bestimmte Linux-Systeme über zwei Jahre 
hinweg schwache Schlüssel erstellt, die sich einfach erraten lassen. 
Setzt der Shop einen solchen schwachen Schlüssel ein, können Betrüger
zum Beispiel unbemerkt übertragende Kreditkarteninformationen 
mitlesen oder sich sogar als der Shop-Server ausgeben.
Auf HTTPS-Seiten versichern Zertifikate, die auf den Namen der 
Webseite ausgestellt sind, dass man auf der richtigen Seite gelandet 
ist und die Daten verschlüsselt übertragen werden. Wegen der 
schwachen Schlüssel können Betrüger die verschlüsselten Daten aber 
nicht nur abhören, sondern auch die Zertifikate missbrauchen, um 
gefälschte Webseiten aufzusetzen, vor denen der Browser nicht warnt.
Das schlimmste ist: Selbst wenn ein Shop-Betreiber reagiert und 
ein schwaches Zertifikat widerruft, kann er den Missbrauch nicht 
verhindern. Folglich können Anwender auch den scheinbar sicheren 
HTTPS-Seiten nicht mehr trauen. Wirksamen Schutz können nur die 
Browser-Hersteller bieten. Doch die haben bislang noch nicht 
reagiert.
Titelbild c't 13/2008
www.heise-medien.de/presseinfo/bilder/ct/08/ct132008.jpg

Pressekontakt:

Ihre Ansprechpartnerin für Rückfragen:
Anja Reupke
Presse- und Öffentlichkeitsarbeit
Telefon +49 [0] 511 5352-561
Telefax +49 [0] 511 5352-563
anja.reupke@heise-medien.de

Original content of: c't, transmitted by news aktuell

More stories: c't
More stories: c't