Die Auffassung von digitaler Sicherheit bei Webmachern

Über Sinn und Unsinn

Von Thorsten Geppert am 06.02.2010, geändert 23.01.2011 (5012 Aufrufe).

Ein neuer Internetauftritt sollte her. In-House ist, bis auf die Grafiker, alles vertreten, um einen solchen Auftritt zu entwickeln. Es gibt Layouter (Textsatz), Adminstratoren und Programmierer. Trotzdem wurde das Projekt außer Haus gegeben.

Eine Firma, nennen wir sie "sinnesformung", sollte den Auftritt technisch umsetzen. Entschieden wurde sich für ein Typo3-System. Die Firma beginnt nun die Umsetzung und innerhalb von vier Wochen steht die erste Version der Website.

Natürlich strahlen Menschen subjektiv Kompetenz aus, wenn sie mit Anzug und Krawatte vor einem stehen und mit ein paar realen und erfundenen Fachbegriffen um sich schmeißen. Der Eindruck war anscheinend gut genug, um sich darauf einzulassen.

Vier Wochen für eine Website, die so aufgebaut ist, ist beachtlich. Ich hätte wesentlich mehr Zeit festgelegt, da Qualität wichtiger als Quantität ist und eine solche Zeitvorgabe auch nach hinten losgehen kann. Genau das ist auch passiert. Addiert man dazu die Inkompetenz von "sinnesformung", bin ich überrascht, dass vieles funktioniert (bisher).

Der Auftritt stand also, war frei zugänglich für jedermann und wir (also unsere kleine Abteilung) haben und das mal genauer angesehen. Wir waren entsetzt, dass eine Firma, die angeblich professionelle Internetauftritte plant und durchführt, tatsächlich grobe und gefährliche Anfängerfehler macht. Noch unverständlicher waren die Reaktionen auf unsere Hinweise.

Es war tatsächlich einfach möglich, per "Cross-Site-Scripting" fremde Inhalte einzubinden. Neben noch weiteren Fehlern gaben wir diese von uns als "kritisch" eingestufte Sicherheitslücke weiter. Falls der geneigte Leser mit "Cross-Site-Scripting" nichts anfangen kann, hier mal ein Szenario:

Gegeben ist eine Website. Auf dieser Website ist Cross-Site-Scripting möglich. Nun kann man, mit dem Aufruf einer bestimmt geformten URL (der Text, der in der Adresszeile des Browser steht), den HTML-Code der Website so manipulieren, dass darin dynamisch Daten ausgetauscht oder fremde Inhalte eingebunden werden können. Ein potentieller Angreifer könnte beispielsweise eine Anmeldeseite so umbiegen, dass anstelle der Anmeldeseite des eigentlichen Systems seine Anmeldeseite erscheint, ohne, dass der Besucher das merkt. Geht man hier von sensiblen Daten wie Bankverbindungen aus, kann das natürlich katastrophale Auswirkungen haben. Nimmt man an, es handelt sich um einen kostenpflichtigen Dienst. Der Besucher möchte ein neues E-Paper kaufen. Die Bankdaten sind im Backendsystem des richtigen Betreibers hinterlegt. Der Angreifer bindet jetzt seine Anmeldeseite ein, speichert Benutzername und Kennwort und leitet dann zur originalen Anmeldeseite weiter. Schon kann sich der Angreifer mit den Daten des Kunden anmelden und die Kontodaten stehlen. Zwei weitere Szenarien wären die Einbindung rechtsextremer Inhalten (Hakenkreuz zum Beispiel) oder pornografischer Inhalte.

Diese Sicherheitslücke wurde von der "sinnesformung" als "nicht kritisch" eingestuft.

Ich möchte hier an dieser Stelle den Leser darauf hinweisen, dass es viele solcher schwarzen Schafe gibt. Es ist besonders wichtig, dass Sie sich Referenzen einholen, verschiedene Firmen fragen, wegen Sicherheitslücken nachhaken und das Ergebnis am Ende von einer weiteren fachkundigen Firma überprüfen lassen. Das kostet zwar Geld, aber es hilft, den Ruf (oberes Szenario kann den Ruf einer Firma nachhaltig beeinträchtigen) aufrecht zu erhalten. Fehler dürfen auftauchen, sofern sie richtig behandelt werden - wir sind alle nur Menschen. "sinnesformung" hat sich hier leider disqualifiziert. Achten Sie vor allem darauf, dass ein gutes Produkt Zeit benötigt, um zu reifen. Schon die Zeit, die an Testphasen benötigt wird, übersteigt zumeist jede Vorstellung. Oder wollen Sie mit einem Auto fahren, das nie getestet wurde?

PS: Wenn Sie wissen möchten, wer mit "sinnesformung" genau gemeint ist, schreiben Sie mir einfach eine Mail.

[zurück]