Vorsicht, Cookie-Entführung!

Sicherheitsbehörden warnen aktuell davor, dass Angreifer selbst Online-Sitzungen, die über Zwei-Faktor-Authentifizierung geschützt werden, mittels Cookie-Diebstahl übernehmen könnten. Achten Sie deshalb auf das richtige Vorgehen mit dem Webbrowser.

Vorgeschrieben: Erhöhter Schutz für den Zugang zu Daten

Online-Shops müssen die Anforderungen der zweiten EU-Zahlungsdiensterichtlinie PSD2 an die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) erfüllen. Die EU-Regularien der starken Kundenauthentifizierung (SCA) besagen, dass Kunden bei Transaktionen im Web und in Apps ihre Identität über mindestens zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren belegen müssen, also zum Beispiel über ein Passwort (Sicherheitsfaktor Wissen) und Biometrie (wie den Fingerabdruck).

Diese sogenannte Zwei-Faktor-Authentifizierung (kurz 2FA) ist auch aus dem Online-Banking bekannt. Scheinbar lässt sich damit ein erhöhter Zugangsschutz realisieren. Denn selbst dann, wenn ein Datendieb das Passwort eines Nutzers erbeutet, kann er sich allein damit nicht anmelden. Es fehlt dann zum Beispiel der Fingerabdruck des Nutzers, um seine Identität zu bestätigen.

Doch auch ein starker Schutz lässt sich umgehen

Doch leider führt eine Zwei-Faktor-Authentifizierung nicht automatisch zu einem sicheren Zugang. Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) meldete kürzlich, dass Angreifer einen starken Zugangsschutz umgangen haben, um Online-Konten anzugreifen. Dabei haben die Online-Kriminellen ausgenutzt, dass die erfolgreiche Anmeldung über die zwei Sicherheitsfaktoren in einem Browser innerhalb sogenannter Sitzungscookies (Session Cookies) gespeichert wird, damit man sich nicht für jede neue Seite eines Online-Shops erneut anmelden muss.

Allerdings ist es möglich, solche Session Cookies zu stehlen oder zu entführen. Wenn ein Angreifer den Sitzungscookie in einem Webbrowser übernehmen kann, übernimmt er damit auch die laufende Sitzung und die Identität des angemeldeten Nutzers. Trotz Zwei-Faktor-Authentifizierung lässt sich also ein Zugang zu einem Online-Dienst kapern, wenn man nicht weitere Sicherheitsvorkehrungen trifft.

Sie müssen sich anmelden, um den Rest des Inhalts zu sehen. Bitte . Kein Mitglied? Werden Sie Mitglied bei uns