Die Internetsicherheit im Alltag erhöhen
Cyberangriffe stellen eine Verletzung der Menschenrechte dar, die verheerende Folgen für Einzelpersonen und die Gesellschaft als Ganzes haben kann. „Zu den Angriffen gehört auch Ransomware, mit der von Nutzenden und Organisationen Zahlungen verlangt werden“, sagt Matteo Maffei, Projektkoordinator von Browsec, der an der TU Wien in Österreich tätig ist. „Cyberangriffe zielen zudem auf kritische Infrastrukturen ab, während Deep Fakes, die künstliche Intelligenz nutzen, um sich als Personen auszugeben, Opfer täuschen können.“ Bei Cyberangriffen wird häufig unsere intensive Nutzung von Webbrowsern ausgenutzt. Da diese Browser weiterentwickelt werden, sind sie unweigerlich für nur schwer erkennbare sicherheitskritische Fehler anfällig. „Außerdem sind die in modernen Browsern eingebauten Sicherheitsstandards nicht vollständig bekannt“, fügt Maffei hinzu. „Bei Cyberangriffen wird nicht nur versucht, von Programmierfehlern zu profitieren, sondern auch logische Schwachstellen in den Webstandards selbst auszunutzen.“
Browsererweiterungen und Verfahren zur Code-Überprüfung
Das Ziel des vom Europäischen Forschungsrat finanzierten Projekts Browsec lautete, diese kritischen Probleme zu überwinden. Dieses Ziel wurde zunächst durch die Absicherung des Browser-Codes realisiert und, was noch wichtiger ist, durch die Gewährleistung von Web-Sicherheitsstandards, die für die Entwicklung und Nutzung strenge Sicherheitsgarantien bieten. „Unsere Forschung stützt sich auf drei grundlegende Säulen“, bemerkt Maffei. „Zunächst haben wir ein formales Modell entwickelt, mit dem das Verhalten des Browsers und die Interaktion mit potenziell schädlichen Websites und Servern definiert wird.“ Mit diesem Modell konnte das Team strenge Überprüfungen durchführen, die unerwartete Wechselwirkungen und potenzielle Schwachstellen aufdeckten. „Zweitens haben wir erkannt, dass es eine große Herausforderung darstellt, die Browser auf dem neuesten Stand zu halten“, bemerkt Maffei. „Deshalb haben wir ein automatisiertes Verfahren zur Formalisierung des Browserverhaltens entwickelt. Es wurde für die Sicherheitsanalyse angepasst.“ Als Nächstes entwickelte das Team Browsererweiterungen und Verfahren zur Code-Überprüfung, um gemeinsam strenge Sicherheitsgarantien in Webanwendungen durchzusetzen.
Webstandards und die Sicherheit moderner Browser
Browsec hat einen wesentlichen Beitrag zu Webstandards und zur Sicherheit moderner Browser geleistet. Zunächst einmal wurden die im Projektverlauf entdeckten Schwachstellen inzwischen offengelegt und behoben. „Einige dieser Schwachstellen sind auf konzeptionelle Probleme in Webentwicklungs-Frameworks zurückzuführen, die für die Erstellung fast aller Webanwendungen verwendet werden“, so Maffei weiter. „Dank unserer Arbeit konnten diese Probleme gelöst werden.“ Das Team deckte außerdem verschiedene Unstimmigkeiten und Mängel in den Webstandards auf, die den Normungsgremien gemeldet wurden. Schließlich kann der Rahmen für die Browser-Sicherheitsanalyse des Projekts als solide Grundlage für die Untersuchung der Sicherheitsauswirkungen künftiger Browseraktualisierungen dienen.
Internetsicherheit durch Design
Dank Browsec bietet sich der Webentwicklung jetzt Zugang zu Bibliotheken, mit denen sie sichereren Code schreiben kann. Anbieter verfügen über einen Rahmen für die Prüfung nicht nur der Funktionalität, sondern auch der Sicherheit ihrer Browser. Zusätzlich verfügen die Normungsgremien jetzt über einen Rahmen für die formelle Bewertung der Sicherheit von Webstandards. „Damit hat Browsec einen tiefgreifenden Einfluss auf die Sicherheit der gesamten digitalen Gesellschaft gehabt“, so Maffei. „Unser Analyserahmen wird aktualisiert, um mit den Veränderungen Schritt zu halten, und wir streben eine engere Integration mit dem Normungsprozess an.“ Für Maffei ist eine der wichtigsten Lehren – und ein bleibendes Vermächtnis von Browsec – dass formale Methoden ein effektives und praktisches Hilfsmittel sind, um Internetsicherheit zu gewährleisten. „Die von uns entwickelten Methoden haben sich nicht nur bei der Erkennung von Fehlern bewährt, sondern auch bei der Beeinflussung des Normungsprozesses“, sagt er. „Damit wurde das Konzept der Internetsicherheit durch Design näher an die Realität gebracht.“
Schlüsselbegriffe
Browsec, Cyberangriffe, digital, Webbrowser, Ransomware, Deep Fakes
