Zertifizierte Unsicherheit

von Thorsten Kamp

Viele e-Commerce-Seiten verwenden Siegel von bekannten Unternehmen, wie z. B. Symantec oder McAffee, um ihre Kunden von der Sicherheit der Webseite zu überzeugen. Eine Forschergruppe hat nun die Ergebnisse ihrer Studie über die Aussagekraft der Zertifizierungen und die Sicherheit der Webseiten veröffentlicht.

Zertifikat oder kein Zertifikat

Für diesen Test haben die Forscher zehn Anbieter von Website-Zertifikaten untersucht. Diese Anbieter führen automatische Schwachstellenscans durch, um festzustellen, ob eine Seite aktuell eine Schwachstelle aufweist. Einige Unternehmen bieten noch weitere Tests wie z. B. die Suche nach Computerviren an. Zuerst wurde die Frage untersucht, ob zertifizierte Webseiten sicherer sind als Seiten ohne ein Zertifikat. Die Tests haben dabei gezeigt, dass die beiden Gruppen in vielen Fällen eine ähnliche Sicherheit aufweisen. Nur in einem Testfall waren die zertifizierten Seiten signifikant sicherer, dagegen waren die Webseiten ohne eine Zertifizierung in zwei Testfällen sicherer als die Seiten mit Zertifikat. Folglich kommen die Forscher in ihrem Paper zum Ergebnis, dass zertifizierte Seiten nicht sicherer seien als Seiten ohne ein solches Siegel.

Manuelle Tests

In einem weiteren Test wurden neun Webseiten durch einen manuellen, nur 8-stündigen Penetrationstest geprüft. Dabei wurden bei den meisten Seiten Schwachstellen gefunden, die Angriffe wie SQL-Injection oder Cross-Site-Scripting (XSS) ermöglichen. In einem Fall führte bereits die Kontaktaufnahme über ein Formular auf der Webseite zu einer Schwachstelle, da ein in der Anfrage vorhandenes Apostroph nicht korrekt verarbeitet wurde und zu einem Fehler im Datenbanksystem führte ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK