Sicherheitslücken

Viele Internet-Seiten sind schlampig gepflegt

26.02.2009
Alarmanlagen, Überwachungskameras, Lichtschranken - der Online-Laden verkauft allerlei, um ein Haus zur Festung aufzurüsten. Doch in seiner eigenen digitalen Präsenz lässt das Unternehmen die Tür für unerbetene Gäste weit offen.
Tpyo3 will gut gepflegt sein
Tpyo3 will gut gepflegt sein

Auf dem Server läuft das populäre Programmpaket Typo3, mit dem man Websites verwalten kann. Durch eine Lücke in der Software könnten Hacker problemlos eindringen und die Website manipulieren. Schutz bietet ein Update, das der Hersteller bereits seit mehr als zwei Wochen anbietet. Doch der Administrator hat geschlampt, die neue Version fehlt.

Damit ist er in schlechter Gesellschaft: Zahlreiche Websites und Unternehmens-Netzwerke sind angreifbar, weil Software-Updates erst mit Verzögerungen eingespielt werden. Eine Studie des Gelsenkirchener Instituts für Internet-Sicherheit zeigt am Beispiel von Typo3, wie gravierend das Problem ist: Zwei Wochen nach Bekanntwerden der Lücke waren von 350 untersuchten Websites noch rund 20 Prozent nicht aktualisiert. Neben dem Laden für Sicherheitstechnik waren auch Universitäten und eine bekannte Hotelkette betroffen.

Typo3

Typo3 ist ähnlich wie das freie Betriebssystem Linux eine Software, deren Programmcode die Entwickler offen legen (Open Source). Eine Gemeinschaft von Programmierern in aller Welt entwickelt das System ständig weiter und erstellt auch Aktualisierungen zur Wartung.

Zahlreiche Internet-Agenturen nutzen die als Content-Management-System (CMS) bezeichnete Software, um für ihre Kunden Websites zu erstellen. Nach Angaben der Entwickler sind es weltweit tausende Web-Auftritte, darunter die von DaimlerChrysler, General Electric, zahlreichen Universitäten und der UNESCO.

Kürzlich nutzten Angreifer eine Schwachstelle in der Software aus und manipulierten die Websites von Bundesinnenminister Wolfgang Schäuble (CDU) und Schalke 04. Beide hatten offenbar ein Sicherheits-Update nicht eingespielt.

Auch die Websites von Wolfgang Schäuble und Schalke 04 hatte es kürzlich getroffen. Doch während die Hacker hier die Texte auf der Seite sichtbar manipulierten, sind die meisten Angriffe heimlich. So ermöglicht eine Sicherheitslücke, schädliche Software einzuschleusen. "Es kann passieren, dass jemand sich auf einer scheinbar vertrauenswürdigen Website einen Trojaner einfängt", sagt Frank Felzmann, Experte für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Solche Programme spähen persönliche Informationen aus - zum Beispiel Kontodaten.

Einige Schädlinge legen ganze Unternehmensnetzwerke lahm. Der Computerwurm Conficker beispielsweise verbreitet sich über mehrere Wege, nutzt aber unter anderem eine Schwachstelle im Betriebssystem Windows aus. Einen Sicherheitsflicken hatte Microsoft bereits im Oktober veröffentlicht. Wer diesen noch nicht installiert habe, spiele "Russisches Roulette", sagte ein Manager des Software-Riesen kürzlich. Der Schädling hat weltweit Netzwerke befallen.

Vermeiden lassen sich Programmierfehler kaum, denn Bürosoftware, Browser und Betriebssysteme werden immer komplexer - so besteht zum Beispiel Windows Vista aus 50 Millionen Zeilen Programmcode. Ohne Updates geht es also nicht. Doch gerade in Unternehmen dauert es oft, bis die Lücken geschlossen sind, berichtet IT-Experte Frank Felzmann. "Große Firmen testen erst die Auswirkungen des Updates auf andere Programme." Zudem sei es aufwendig, alle Rechner zu aktualisieren - zumal wenn mehrere Standorte betroffen und auch noch Notebooks im Einsatz sind.

"Angreifer wissen um die Zeitverzögerung und attackieren gezielt die Schwachstelle, die der Hersteller schließt", warnt Professor Norbert Pohlmann vom Institut für Internet-Sicherheit in Gelsenkirchen. Damit sind die Rechner der Attacke schutzlos ausgeliefert - wie bei Schwachstellen, für die es noch kein Update gibt ("Zero Day"). "Wir leben in einer Informationsgesellschaft und müssen lernen, mit den Risiken umzugehen", betont Pohlmann. Neben einem Anti-Virus-Programm und einer Firewall seien Updates Pflicht. "Zu Hause lasse ich ja auch nicht die Haustür offen stehen." (dpa/tc)