NCSC warnt vor vermeintlichen Sicherheitsforschern
Wenn ein Sicherheitsforscher per Mail eine Schwachstelle auf der eigenen Website meldet, sollte man die Nachricht ernst nehmen. Das NCSC warnt aber auch vor vermeintlichen Sicherheitsforschern, die nur auf das schnelle Geld aus sind.
Wer eine Website betreibt, ist für deren Sicherheit verantwortlich. Mitunter erhalten Administratorinnen und Administratoren von Websites auch E-Mails von Sicherheitsprofis, die auf eine mögliche Schwachstelle hinweisen. Man sei gut beraten, solche Hinweise ernst zu nehmen, schreibt das Nationale Zentrum für Cybersicherheit (NCSC) in seinem neuesten Wochenrückblick. Es rät dazu, den gemeldeten Sachverhalt zu prüfen und entsprechende Massnahmen so schnell wie möglich einzuleiten.
Gleichzeitig rät die Behörde zu Vorsicht mit solchen Meldungen, vor allem dann, wenn die Verfasser des Berichts dafür eine Belohnung verlangen. Denn neben seriösen Sicherheitsforschenden tummeln sich auch "einige Personen, welche versuchen, mit Meldungen zu angeblichen Konfigurationsfehlern oder sonstigen Sicherheitshinweisen auf einfache Weise an Geld zu kommen", schreibt das NCSC.
Als Beispiel nennt die Behörde den per E-Mail verschickten Hinweis, dass auf der eigenen Website die Funktion "HTTP Strict Transport Security (HSTS)" nicht aktiviert sei. Ist die Funktion aktiviert, weist die Website den aufrufenden Browser an, ab dem ersten Aufruf einzig verschlüsselte Verbindungen für den Datenverkehr zu nutzen, erklärt das NCSC.
Es sei natürlich sehr empfehlenswert, HSTS zu implementieren. Das Fehlen der Funktion könne jedoch kaum als klassische Sicherheitslücke bezeichnet werden. Ob die Funktion implementiert ist, lasse sich zudem mit kostenlosen Onlinetools überprüfen. Das Fazit des NCSC: "Eine Forderung nach einer Belohnung ist deshalb in diesen Fällen mehr als fraglich."
Das NCSC fasst die Warnung in zwei Empfehlungen zusammen:
Nehmen Sie Meldungen zu Schwachstellen ernst, überprüfen Sie diese und treffen Sie möglichst schnell die entsprechenden Massnahmen.
Lassen Sie sich aber durch Trittbrettfahrer nicht verunsichern, die die Situation ausnutzen und mit einfachen Hinweisen versuchen, Geld zu verdienen.
Cyberkriminelle nutzen Schwachstellen in Website-Software schamlos aus. So griffen sie im Juli etwa weit über eine Million Wordpress-Websites an. Möglich wurde das durch eine Sicherheitslücke in einem Plug-in, wie Sie hier erfahren.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
BSI expandiert nach Italien
Dropbox meldet unbefugten Zugriff auf Kundendaten
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
Viewsonic lanciert modulares LED-Display-System
Betrüger wickeln Opfer mit geschenkten Klavieren um den Finger
Shure veranstaltet Partner-"Avents"
Bienen lösen Rätsel und spielen mit Bällen
Netzmedien lädt wieder zur Sommer Party nach Horgen
Customize baut Geschäftsleitung um
