Web-Browser täuschen sichere Verbindungen vor
iX über den Identitätsdiebstahl im Internet

Hannover, 12. Mai 2005 - Wer eine verschlüsselte Internetverbindung startet, wähnt sich gemeinhin auf der sicheren Seite. Dabei ist vielen Usern nicht bewusst, dass sich die Darstellung geschützter Webseiten täuschend echt nachbauen lässt, schreibt das IT-Profimagazin iX in der aktuellen Ausgabe 6/05. Solange Browserhersteller diese Schwachstelle nicht kompensieren, müssen Anwender Vorkehrungen treffen.

Bei Phishing-Attacken bilden Online-Betrüger die Inhalte von Webseiten nach, die der Aufnahme von persönlichen Daten dienen. Darüber hinaus imitieren sie alle Bereiche des Webbrowsers, die den Benutzer über den tatsächlichen Status der Verbindung informieren. Solche browserspezifischen Sicherheitsindikatoren (BSSI) ermöglichen es dem Anwender normalerweise, eine gesicherte Verbindung von einer ungesicherten zu unterscheiden.

Wenn aber alle vom Browser angezeigten Informationen auf die vermeintliche (mit dem Netzwerkprotokoll Secure Sockets Layer SSL) geschützte Webseite hindeuten und verschleiern, dass sie von einem anderen Webserver stammen, kann das vor allem für technisch unerfahrene User dramatische Folgen haben.

Mit neuen visuellen Methoden zur Zertifikationsüberprüfung wollen Hersteller und Forschungseinrichtungen jetzt Vorkehrungen treffen. Forscher des Department of Computer Science der Bar-Ilan-Universität in Israel haben beispielsweise einen Plug-in-Prototyp für den Mozilla entwickelt, der die Präsenz einer SSL-Verbindung visuell unterstreicht. Bekommt ein Benutzer das erste Mal eine SSL-geschützte Webseite zu Gesicht, wird er aufgefordert, ihr ein persönliches Logo zuzuordnen, das er beim nächsten Besuch in einem bestimmten Bereich des Browsers wiederfinden muss. Fehlt das Logo, befindet er sich nicht auf der ursprünglich angewählten Seite.

Auch mit personalisierten Zusatzinformationen im Browserfenster können Anwender das Zustandekommen erwünschter Verbindungen leicht erkennbar dokumentieren, schlagen Forscher des Horst-Götz-Institutes der Ruhr-Universität Bochum vor. Fehlen diese persönlichen Elemente im Browser, lässt sich ein Visual-Spoofing-Angriff identifizieren. Beide Vorschläge basieren auf der Idee, dass ein Angreifer technisch nicht in der Lage ist, die Personalisierung auszulesen.

"Bis sich diese Sicherheitsvorkehrungen durchgesetzt haben, bleibt Anwendern nur das gesunde Misstrauen beim Bearbeiten ihrer Mailbox", rät iX-Redakteur Bert Ungerer. (un)