Wir benutzen Cookies, um die Nutzerfreundlichkeit der Website zu verbessern. Durch deinen Besuch stimmst du der Datenschutzerklärung zu.
Alles klar!
BASIC thinking Logo Dark Mode BASIC thinking Logo Dark Mode
  • TECH
    • Apple
    • Android
    • ChatGPT
    • Künstliche Intelligenz
    • Meta
    • Microsoft
    • Quantencomputer
    • Smart Home
    • Software
  • GREEN
    • Elektromobilität
    • Energiewende
    • Erneuerbare Energie
    • Forschung
    • Klima
    • Solarenergie
    • Wasserstoff
    • Windkraft
  • SOCIAL
    • Facebook
    • Instagram
    • TikTok
    • WhatsApp
    • X (Twitter)
  • MONEY
    • Aktien
    • Arbeit
    • Die Höhle der Löwen
    • Finanzen
    • Start-ups
    • Unternehmen
    • Marketing
    • Verbraucherschutz
Newsletter
Font ResizerAa
BASIC thinkingBASIC thinking
Suche
  • TECH
  • GREEN
  • SOCIAL
  • MONEY
  • ENTERTAIN
  • NEWSLETTER
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
TECH

Das Computer Emergency Response Team der EU als Vorbild für IT-Security? Wechseln wir lieber das Thema!

Ehemalige BASIC thinking Autoren
Aktualisiert: 14. Dezember 2012
von Ehemalige BASIC thinking Autoren
Teilen

Computer Emergency Response Team Ausgerechnet die Website der europäischen Cyber-Eingreiftruppe CERT-EU ist nach unseren Informationen durch zwei Cross-Site-Scripting-Fehler aufgefallen. Deutlicher wird die Brisanz dieser Entdeckung, wenn man sich vor Augen führt, womit sich diese Organisation beschäftigt.

Die Abkürzung CERT steht für Computer Emergency Response Team. Dabei handelt es sich also um eine Gruppe von IT-Fachleuten, die die Bürgerinnen und Bürger nebst den Unternehmen im EU-Raum zum Thema Computersicherheit beraten und sie über technische Risiken aufklären sollen. Erst vor kurzem war das bis dato einjährige Test-Projekt in eine dauerhafte Institution umgewandelt worden. Diese ist nun unter anderem für die Absicherung der technischen Infrastruktur des Europäischen Gerichtshofes, der Zentralbank und anderer Einrichtungen zuständig. Die Mitarbeiter bekämpften dabei reguläre Cyberkriminelle, die mit ihren Aktionen lediglich so viel Geld wie möglich abgreifen wollen. CERT-EU geht aber auch gegen politisch motivierte Hacktivisten und die Cyber-Armeen ganzer Nationen vor.

Allerdings ging die Umstellung vom Pilotprojekt zur Dauerpräsenz offenbar mit viel Aufwand und nicht weniger Chaos einher. Anders ist es nicht zu erklären, warum unsere erste Anfrage von Anfang Oktober 2012 nicht beantwortet wurde. Nahezu ein Fünftel aller für Presseangelegenheiten eingerichteten E-Mail-Konten waren in der Übergangsphase ungültig, das ging ja schon mal gut los.

BASIC thinking UPDATE

Jeden Tag bekommen 10.000+ Abonnenten die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

  • 5 Minuten pro Tag
  • 100% kostenlos
  • Exklusive PDF-Guides

XSS – was ist das?

Aber worin genau lag nun das Problem? Dazu mal ein kleiner Exkurs: XSS ist die Abkürzung für Cross-Site-Scripting. Alle Nase lang werden neue XSS-Lücken in online-basierten Anwendungen entdeckt, die man ausnützen könnte. Über Kreuz (cross) gehen dabei aber nicht die Opfer, sondern die Angriffe. Diese werden zwischen zwei Seitenaufrufen durchgeführt. XSS Bugs kann man also ausnutzen, sofern es auf einer Webseite Eingabefelder gibt, die man mit einem eigenen Text ausfüllen kann. Der Angreifer fügt dann in das Eingabefeld statt eines Wortes oder Satzes einen eigenen Script-Code ein, der im Normalfall nicht ausgeführt werden dürfte. Ruft der nächste User das gleiche Feld auf, und die Webapplikation ist fehlerhaft, wird das bösartige Script des Hackers auf den Browser des Lesers übertragen. Nicht die Übertragung aber zumindest die Ausführung des bösartigen Programms müsste der Browser unterbinden, das klappt aber leider nicht immer.

Angenommen die Webseite unterbindet nicht die Ausführung des Scripts, so könnte der Cyberkriminelle beispielsweise das Cookie des nächsten Besuchers klauen, seine Daten auslesen, um sich selbst als dieser Besucher auszugeben. Warum das funktioniert? Ganz einfach: Im Cookie werden oftmals die Informationen hinterlegt, die man braucht, um sich für einen Dritten auszugeben. Wer der englischen Sprache mächtig ist und es noch ein wenig anschaulicher braucht, dieses Video erklärt den technischen Vorgang des Identitätsdiebstahls sehr gut.

Cross-Site-ScriptingViele Datenschützer werden jetzt sagen: Moment mal, so schlimm ist das alles nicht. Das stimmt auch zum Teil, denn reine XSS-Fehler erlauben keinen Hack im eigentlichen Sinn. Das heißt, mit ihnen ist es nicht möglich, direkt auf die Webserver zu gelangen, um sich dort einzunisten, Inhalte zu verändern, Daten abzugreifen etc. Das ist auch der Grund, warum XSS-Fehler in einschlägigen Kreisen als eher unbedeutend gelten. Dennoch kann man via Cross-Site-Scripting viel Unsinn anstellen, so auch die Verbreitung von Schadsoftware über die betroffene Webseite. Zudem kann man via XSS eigene Inhalte anzeigen lassen, die unbemerkt von den Servern der Cyberkriminellen nachgeladen werden. So wäre es bei einem für XSS anfälligen Online-Shop mitunter möglich, Phishing zu betreiben.

Die schwarzen Schafe unter den Hackern sind dabei stets bemüht, Lücken in solchen Internet-Portalen zu finden, die einerseits gut besucht sind und die andererseits sehr seriös wirken. Zwar bekommt die Webpräsenz der IT Security der EU nicht so viel Besuch wie andere Webseiten, wie etwa amazon.com, ebay.com etc. Trotzdem wäre es durchaus ein lohnendes Ziel.

Die beiden Cross-Site-Scripting Bugs entdeckte übrigens der IT-Berater Matthias Ungethüm aus Geringswalde. Er hält die Sicherheitslücken auf cert.europa.eu auch deswegen für relevant, weil sie selbst von modernen Browsern wie Google Chrome nicht unterdrückt werden.

Brüssel, wir haben ein Problem!

Weil auf unseren Hinweis überhaupt keine Antwort kam, verschickten wir am 21.11. eine Erinnerung per E-Mail und teilten allen Pressesprechern von CERT-EU mit, nach Ablauf unserer Frist von 14 Tagen würden wir mit den Lücken notfalls ohne ihr Einverständnis an die Öffentlichkeit gehen. CERT-EU Team Leader Freddy D. antwortete prompt und entschuldigte sich dafür, dass möglicherweise etwas verloren gegangen sei. Auf Nachfrage schrieb er uns dann zwei Tage später, man habe die XSS-Bugs in einer sicheren Testumgebung geprüft und könne sie bestätigen. Am 4.12. erreichte uns schließlich die Mitteilung, das Update des Webportals sei nun nach weiteren Tests online, die Fehler waren somit behoben.

Na also, es geht doch! Warum muss man in solchen Fällen so etwas Lächerliches wie ein Ultimatum androhen, weil man sonst selbst als Journalist keine Antwort erhält? Das ist schon unzählige Male passiert und ist leider nicht von der Größe des Unternehmens oder der Behörde abhängig.

Schlecht nachvollziehbar bleibt auch, warum man das CERT-EU Team kürzlich um zwei Personen reduziert hat. Wie sollen die IT-relevanten Probleme der gesamten Europäischen Union von nur acht Mitarbeitern gelöst werden? Das ist schlichtweg unmöglich. EU-Kommissarin Neelie Kroes hatte noch im September PR-trächtig hervorgehoben, der Cyber-Sicherheit müsse in Europa eine hohe Priorität eingeräumt werden, um unser aller Konkurrenzfähigkeit zu sichern. Das stimmt ja soweit auch. Leider hat sie nicht ausgeführt, wie das bei diesem lächerlichen Personalschlüssel geschehen soll!

Ganz ehrlich, den Angestellten von CERT-EU kann man keinen Vorwurf machen, den verantwortlichen Politikern hingegen schon. Hätten sie die Zeichen der Zeit erkannt, würden sie mindestens 80 IT-Experten beschäftigen – und nicht nur 8. Aber vielleicht sind solche Ereignisse ja ein unüberhörbarer Warnschuss. Zumindest bleibt das zu hoffen.

Grafiken: CERT-EU, Fireblog, thx!

(Lars Sobiraj)

Kleines Kraftwerk

Anzeige

STELLENANZEIGEN
BASIC thinking Freiberuflicher Redakteur (m/w/d)
BASIC thinking GmbH in Home Office
Auszubildende zur Fachinformatikerin bzw. zum...
Bundesamt für Migration und Flüchtlinge in Nürnberg
Sales Manager (m/w/d) Online Marketing
Sellwerk GmbH & Co. KG in Erfurt, Nordhausen, Rudols...
Pflichtpraktikanten (m/w/d) im E-Commerce / O...
OMB AG Online.Marketing.Berater. in Frankfurt am Main
IT Operations and Innovation Lead (all gender...
Aroundhome in Berlin
Audio-visueller Content Creator (w/m/d) B2B –...
Drees & Sommer SE in Stuttgart

Du willst solche Themen nicht verpassen? Mit dem BASIC thinking UPDATE, deinem täglichen Tech-Briefing, starten über 10.000 Leser jeden Morgen bestens informiert in den Tag. Jetzt kostenlos anmelden:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

Teile diesen Artikel
Facebook Flipboard Whatsapp Whatsapp LinkedIn Threads Bluesky Email
vonEhemalige BASIC thinking Autoren
Dieses Posting wurde von einem Blogger geschrieben, der nicht mehr für BASIC thinking aktiv ist.
Kleines Kraftwerk

Anzeige

EMPFEHLUNG
PŸUR
Internet, das nie teuer wird – für nur 19 Euro pro Monat
Anzeige TECH
American Express Kreditkarte
Jetzt profitieren: Exklusive Vorteile mit der American Express Kreditkarte sichern
Anzeige MONEY
UPDATE – DEIN TECH-BRIEFING

Jeden Tag bekommen 10.000+ Abonnenten von uns die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

LESEEMPFEHLUNGEN

Anker SOLIX Solarbank 3
AnzeigeTECH

1.500 Euro Stromkosten pro Jahr sparen: Mit der Anker SOLIX Solarbank 3

besten Autos 2025
MONEYTECH

Preis-Leistung: Die besten Autos im Jahr 2025

organische Solarzelle Rekord Effizienz
GREENTECH

Forscher entwickeln effizienteste organische Solarzelle der Welt

Akku Life Guard intelligente Steckdose Höhle der Löwen Nature
MONEYTECH

Akku Life Guard: Intelligente Steckdose aus „Höhle der Löwen“ (+Gewinnspiel)

KI-Singularität KI Künstliche Intelligenz
TECH

KI-Singularität: Eine neue Ära der Künstlichen Intelligenz?

Balkonkraftwerke Vergleich, Solar, Solarenergie, Erneuerbare Energie, Solarenergie, Sonne, Haus, Stiftung Warentest, Ranking
GREENTECH

Stiftung Warentest: 8 Balkonkraftwerke im Vergleich – nur zwei Anlagen „gut”

Mehr anzeigen
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
  • Über uns
  • Mediadaten
  • Impressum
  • Datenschutz
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?