Viele e-Commerce-Seiten verwenden Siegel von bekannten Unternehmen, wie z. B. Symantec oder McAffee, um ihre Kunden von der Sicherheit der Webseite zu überzeugen. Eine Forschergruppe hat nun die Ergebnisse ihrer Studie über die Aussagekraft der Zertifizierungen und die Sicherheit der Webseiten veröffentlicht.
Zertifikat oder kein Zertifikat
Für diesen Test haben die Forscher zehn Anbieter von Website-Zertifikaten untersucht. Diese Anbieter führen automatische Schwachstellenscans durch, um festzustellen, ob eine Seite aktuell eine Schwachstelle aufweist. Einige Unternehmen bieten noch weitere Tests wie z. B. die Suche nach Computerviren an. Zuerst wurde die Frage untersucht, ob zertifizierte Webseiten sicherer sind als Seiten ohne ein Zertifikat. Die Tests haben dabei gezeigt, dass die beiden Gruppen in vielen Fällen eine ähnliche Sicherheit aufweisen. Nur in einem Testfall waren die zertifizierten Seiten signifikant sicherer, dagegen waren die Webseiten ohne eine Zertifizierung in zwei Testfällen sicherer als die Seiten mit Zertifikat. Folglich kommen die Forscher in ihrem Paper zum Ergebnis, dass zertifizierte Seiten nicht sicherer seien als Seiten ohne ein solches Siegel.
Manuelle Tests
In einem weiteren Test wurden neun Webseiten durch einen manuellen, nur 8-stündigen Penetrationstest geprüft. Dabei wurden bei den meisten Seiten Schwachstellen gefunden, die Angriffe wie SQL-Injection oder Cross-Site-Scripting (XSS) ermöglichen. In einem Fall führte bereits die Kontaktaufnahme über ein Formular auf der Webseite zu einer Schwachstelle, da ein in der Anfrage vorhandenes Apostroph nicht korrekt verarbeitet wurde und zu einem Fehler im Datenbanksystem führte. Die Ergebnisse zeigen nach Aussage der Forscher, dass trotz eines erteilten Sicherheits-Siegels selbst ein Angreifer mit nur geringen Ressourcen erfolgreiche Angriffe gegen die Webseiten durchführen kann.
Qualität der Scanner
Die Anbieter der Zertifikate nutzen wie gesagt Schwachstellenscanner, um Sicherheitsrisiken zu ermitteln. Daher haben die Forscher einen Online-Shop mit 11 bzw. 12 Schwachstellen erstellt, um die Scanner der Anbieter einem Test zu unterziehen. In diesem Test fanden zwei der acht getesteten Anbieter keine einzige Schwachstelle. Im besten Ergebnis wurden fünf der 11 relevanten Schwachstellen gefunden. Zum Vergleich wurden noch drei weitere am Markt verfügbare Schwachstellenscanner getestet. Das insgesamt beste Ergebnis erzielte der Scanner der BurpSuite. Dieser fand sechs der 11 relevanten Schwachstellen und war damit besser als die Scanner aller Zertifikatsanbieter.
Angriffe über die Zertifikate
Zum Abschluss ihrer Veröffentlichung zeigen die Forscher drei Angriffe, die nur auf Grund der Siegel bzw. der Zertifikatsanbieter möglich sind. So nutzen sie z.B. die Gültigkeit eines Zertifikats als Hinweis, um zu erfahren, ob eine Webseite aktuell für eine Schwachstelle verwundbar ist. Dieser Test ist deutlich unauffälliger als wenn ein Angreifer die Webseite selber scannen würde, um Schwachstellen zu finden.
Ergebnis: Mehr Schall als Rauch
Am Ende muss man feststellen, dass ein Zertifikat oder Siegel auf einer Webseite kein Beweis für die Sicherheit der Seite ist. Weder der Betreiber einer Seite noch ein Kunde kann sich auf der Grundlage der Tests darauf verlassen, dass die Webseite keine Schwachstellen hat. Nur ein echter Penetrationstest kann eine vernünftige Aussage dazu treffen.