„Wie ein Pflaster, das nicht klebt“
„Die besten Werkzeuge der Welt werden uns nicht helfen, wenn diejenigen, die sie benutzen, sie nicht verstehen“, sagt Dr. Ben Stock. Der Cybersicherheitsforscher ist überzeugt, dass Funktionalität und Benutzbarkeit von Sicherheits-Tools in Zukunft stärker zusammengebracht werden müssen. Derzeit stellen er und sein Team unter anderem den Sicherheitsmechanismus Content Security Policy (CSP) auf den Prüfstand. Dieser soll eigentlich verhindern, dass durch das Ausnutzen von Sicherheitslücken in Webanwendungen sensible Nutzer:innendaten gestohlen oder Anwendungen von den Angreifer:innen übernommen werden können. Wie die Forscher:innen zeigen konnten, kann CSP bislang allerdings kaum wirksam eingesetzt werden. Das liegt nicht nur an den technischen Schwächen des Standards – bislang bleiben die Anwender:innen und ihre Bedürfnisse zu sehr außen vor.
Eine der häufigsten Angriffsarten im Web und ein guter Grund eine CSP anzuwenden, ist das sogenannte Cross Site Scripting (XSS). 1999 wurde diese Methode, mit der Angreifer:innen schädlichen Skriptcode unter anderem im Browser von Anwender:innen platzieren können, zum ersten Mal beschrieben. Der untergeschobene Code wird vom Rechner verarbeitet, als handele es sich um einen ganz normalen Webseiteninhalt. Cyberkriminelle können so höchst vertrauliche Informationen wie Passwörter von Nutzer:innen erbeuten und damit großen Schaden anrichten. Im Jahr 2012 wurde unter anderem gegen solche Angriffe der Sicherheitsmechanismus CSP entwickelt. Er soll verhindern, dass die bestehenden Sicherheitslücken von Angreifer:innen ausgenutzt werden. Eine CSP ist dafür gedacht, dass Entwickler:innen festlegen, welcher Scriptcode von ihnen kommt und daher ausgeführt werden soll. Das hilft zu verhindern, dass bösartiger Scriptcode zur Ausführung kommt – allerdings nur, wenn der Sicherheitsmechanismus auch richtig konfiguriert wurde."
„Wir gehen allerdings davon aus, dass auf etwa 95 Prozent der Webseiten die CSP in der jetzigen Form nicht richtig zur Anwendung kommt“, sagt CISPA-Faculty Ben Stock. Dafür gibt es zum einen technische Gründe. So konnte Stocks Team mittels einer Verlaufsstudie zeigen, dass mehr als zwei Drittel der populärsten Webseiten Code von Drittanbietern enthält, der mit einer CSP nicht kompatibel ist. Da Seitenbetreiber:innen aber auf Drittanbieter-Code angewiesen sind, etwa um Werbung anzeigen und damit Gewinne erwirtschaften zu können, nützt ihnen der Sicherheitsmechanismus derzeit wenig bis gar nichts. „Eine CSP soll eigentlich das Schlimmste verhindern, ist aber mehr wie ein Pflaster, das nicht klebt“, sagt Stock.
Die technischen Schwächen sind allerdings nur eine Seite der Medaille. Damit eine CSP wirksam eingesetzt werden kann, müssen Webentwickler:innen auch verstehen, wie sie richtig konfiguriert wird und wo Gefahren lauern. Eine neu qualitative Studie von Stocks Team, die in Zusammenarbeit mit der Forschungsgruppe von CISPA-Faculty Katharina Krombholz entstanden ist, soll Aufschluss geben, woran Webentwickler:innen beim Einsatz einer CSP scheitern. „Am Ende könnte die Erkenntnis stehen, dass wir den Sicherheitsmechanismus von Grund auf neu denken müssen“, sagt Stock.
Entwickler:innen und Nutzer:innen besser zu schulen und für Gefahren zu sensibilisieren, hält Stock für einen wichtigen Baustein der Websicherheit. „Zu häufig werden User:innen entmündigt, wenn es um Websicherheit geht.“ So gebe es oft keine tiefere Erklärung, warum beim Ansurfen einer Seite ein Sicherheitshinweis aufploppt, oder warum der Browser bestimmte Webinhalte blockiert. „Technische Lösungen zu finden, die auch verständlich sind – das ist die ganz große Herausforderung“, sagt Stock.
Ben Stock ist seit 2015 am CISPA, zunächst als Postdoc, dann als Forschungsgruppenleiter und seit Juli 2018 als Faculty. Der 36-Jährige, der gebürtig aus Mainz stammt, forscht unter anderem zu den Themen Web- und Netzwerksicherheit sowie Usable Security.