Skip to main content
CORDIS - Forschungsergebnisse der EU
CORDIS

Article Category

Story
Inhalt archiviert am 2024-04-23

Article available in the following languages:

WEBSAND: Eingebauter Schutz für ein sichereres Web-Erlebnis

EU-Forscher entwickelten einen innovativen Sicherheitsrahmen, der sowohl Internetnutzern als auch Entwicklern einen größeren Schutz vor Cyberangriffen bietet.

Der Monat Oktober wurde zum European Cyber Security Month (Europäischer Monat für Cybersicherheit) ausgerufen und das Bewusstsein für Onlinesicherheit in der EU ist so groß wie nie. Cyberkriminalität kostet die europäische Wirtschaft laut Schätzungen jährlich etwa zehn Milliarden Euro, wobei ein Großteil davon auf den Diebstahl von Kreditkartendaten, die später auf dem Schwarzmarkt verkauft werden, zurückzuführen ist. Eines der Projekte, das die EU Im Kampf gegen die Cyberkriminalität und zur Förderung der Sicherheit im Internet finanziert, nennt sich WEBSAND (Server-driven Outbound Web-application Sandboxing), welches bereits neue Tools entwickelte, die es Hackern erschweren, die Systeme zu knacken. Die Computerwissenschaftler von WEBSAND haben auf "Sandkästen" basierende Lösungen entworfen, restriktive Mechanismen, die die Serversysteme sowie Informationsflüsse (zwischen Servern und den Browsern der Nutzer) von nicht vertrauenswürdigem Code trennen. DAS INTERNET VERBESSERN "Der wichtigste Erfolg von WEBSAND war, dass wir den Entwicklern gezeigt haben, wie man Sicherheit zu einem standardmäßigen Bestandteil des Systems macht anstatt zu einem nachträglichen Aufwand“, erklärte der Koordinator Dr. Martin Johns . Das Internet hat sich seit dem Jahr 1990, als es noch als statisches Tool zur Bereitstellung von Dokumenten genutzt wurde, entscheidend verändert. Es hat sich mittlerweile zu einer in Echtzeit aus multiplen Quellen gespeisten Umgebung entwickelt, die Entwickler dazu neigen lässt, Sicherheit den Systemen direkt hinzuzufügen anstatt sie zu einem integralen Bestandteil des Client-Server-Modells zu machen. WEBSAND wurde gegründet, um eine solche Veränderung herbeizuführen. "Wir haben uns zu Projektbeginn bewusst ein sehr ehrgeiziges Ziel gesetzt. Wir dachten: 'Lasst uns versuchen, das Internet zu verbessern.' Dieses Ziel haben wir bis zu einem gewissen Grad erreicht. Wir haben direkt auf der Serverseite eine Menge Lösungen zur Umsetzung des Sicherheitsniveaus, den wir für bestimmte Bereiche erwarten, integriert." Das Ziel war, den Entwickler durch einen Server-basierten Sicherheitsansatz und die Bildung eines modularen, einfach zu nutzenden Rahmens das Ruder in die Hand zu geben, damit Entwicklern sogar mit begrenzten Kenntnissen im Bereich der IT-Sicherheit verlässlich sichere Anwendungen entwickeln können. Darüber hinaus hat WEBSAND eine Reihe von Browser-Erweiterungen für Endnutzer entwickelt. Diese umfassen CSFIRE , welches für Nutzer "unsichtbar" ist, das es die Funktionalität der Anwendungen, die es verwenden (z. B. E-Mail-Programm, Facebook, Google oder ein Währungsrechner), nicht beeinträchtigt, während es sie transparent vor Web-Angriffen schützt. Die Wissenschaftler von WEBSAND haben zudem Lösungen für einige der grundsätzlichen, fortlaufenden Probleme des Internets untersucht und gefunden: Sie haben eine leichte Ergänzung zur Client-Seite von Browsern entworfen, die DNS-Rebinding-Angriffe verhindern, eine weit verbreitete Methode zur Gewinnung von Daten aus einem Server ohne das Wissen des Hosts. Eine kleine Erweiterung der "Same-Origin-Policy" setzt dieser Gefahr ein Ende. Darüber hinaus haben Sie auch einen anderen Weg für die Authentifizierung von Passwörtern entwickelt, indem sie ein neues Challenge-Response-System implementieren, das vom Server und nicht vom Browser eingeleitet wird. Nun arbeiten die Hauptpartner des Projekts, die deutschen Unternehmen SAP und Siemens sowie die Universitäten von Leuven in Belgien und Chalmers in Schweden, mit den internationalen Internet-Normenorganisationen W3C und IETF, um Browserunternehmen davon zu überzeugen, die WEBSAND-Technologie zu übernehmen. Zudem sind sie ein Teil der gemeinnützige Organisation OWASP (Open Web Application Security Project) und bewerben ihre Erkenntnisse durch deren Nutzergruppen und Meetings. "Bei SAP und Siemens verwenden wir die WEBSAND-Technologie, um unsere eignen Produkte sicherer zu machen. Wir würden jedoch auch direkt von einem Internet profitieren, das standardmäßig sicher ist", sagt Dr. Johns. "Sicherheit ist sehr teuer und ein sichereres Internet würde es Unternehmen außerdem erlauben, einen größeren Teil ihrer Ressourcen für die Funktionalität ihrer Produkte und Dienstleistungen einzusetzen." WEBSAND, das von Oktober 2010 bis April 2014 lief, erhielt vom Siebten Forschungsrahmenprogramm Finanzmittel in Höhe von EUR 3,2 Mio. und bestand aus fünf Partnern in drei Ländern. Link zur Projektwebsite