Sicherheit im Internet

Die 6 Angriffsarten von Datendieben

13.07.2010
Von Alexander Galdy

Hardware-Token können als klassische Variante des One Time Passworts (OTP) oder in der Ausprägung als Chipkarten die Sicherheit von Authentifizierungs- und Autorisierungsvorgängen erhöhen. Sie bieten aber in den allermeisten Fällen keinen Schutz vor Man-in-the-Middle-Angriffen oder Manipulation der Transaktionen durch eine spezialisierte MalwareMalware. Alles zu Malware auf CIO.de

One Time Passwörter (OTP) können zur Authentifizierung von Sitzungen (Sessions) oder zur Authentifizierung von Transaktionen wie beim Online-Banking eingesetzt werden. Dabei bieten die meisten OTP aber keinerlei Schutz gegen Man-in-the-Middle-Angriffe, bei denen der Angreifer sich in die Verbindung einklinkt, um die übertragenen Daten abzuhören oder sogar zu verändern.

Biometrie ist nicht sicher

4. Weitere Methoden zum Nachweis einer Identität: Zu diesen zählt unter anderem die Biometrie. Sie eignet sich in der Regel nicht, um eine Identität im Internet nachzuweisen. Der Grund: Sie müssen lokal auf Seite des Clients erfasst, und dann als Datensatz über das Internet transportiert werden.

Der Nachweis der Identität durch eine persönliche Eigenschaft wird so auf den Nachweis der Identität durch Wissen reduziert: Wenn ein Angreifer den biometrischen Datensatz abfangen kann, kann er ihn analog zu einem Passwort verwenden. Hierunter fallen alle statischen Biometriedaten wie Gesichtsbilder, Fingerabdrücke, Irisscans oder DNA-Scans.

5. Reine Man-in-the-Middle-Angriffe: Dazu zählen alle Aktionen des Angreifers in Echtzeit zwischen Client und Server. Es hat sich gezeigt, dass Angreifer Endanwender als das schwächste Glied in der Sicherheitskette von IT-Systemen ansehen. Aus diesem Grund sind verschiedene Angriffs-Varianten entworfen wurden, um das System des Endanwenders zu kompromittieren.

Zur Startseite