Vorsicht, Cookie-Entführung!
Sicherheitsbehörden warnen aktuell davor, dass Angreifer selbst Online-Sitzungen, die über Zwei-Faktor-Authentifizierung geschützt werden, mittels Cookie-Diebstahl übernehmen könnten. Achten Sie deshalb auf das richtige Vorgehen mit dem Webbrowser.
Vorgeschrieben: Erhöhter Schutz für den Zugang zu Daten
Online-Shops müssen die Anforderungen der zweiten EU-Zahlungsdiensterichtlinie PSD2 an die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) erfüllen. Die EU-Regularien der starken Kundenauthentifizierung (SCA) besagen, dass Kunden bei Transaktionen im Web und in Apps ihre Identität über mindestens zwei von drei möglichen, voneinander unabhängigen Sicherheitsfaktoren belegen müssen, also zum Beispiel über ein Passwort (Sicherheitsfaktor Wissen) und Biometrie (wie den Fingerabdruck).
Diese sogenannte Zwei-Faktor-Authentifizierung (kurz 2FA) ist auch aus dem Online-Banking bekannt. Scheinbar lässt sich damit ein erhöhter Zugangsschutz realisieren. Denn selbst dann, wenn ein Datendieb das Passwort eines Nutzers erbeutet, kann er sich allein damit nicht anmelden. Es fehlt dann zum Beispiel der Fingerabdruck des Nutzers, um seine Identität zu bestätigen.
Doch auch ein starker Schutz lässt sich umgehen
Doch leider führt eine Zwei-Faktor-Authentifizierung nicht automatisch zu einem sicheren Zugang. Die US-amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) meldete kürzlich, dass Angreifer einen starken Zugangsschutz umgangen haben, um Online-Konten anzugreifen. Dabei haben die Online-Kriminellen ausgenutzt, dass die erfolgreiche Anmeldung über die zwei Sicherheitsfaktoren in einem Browser innerhalb sogenannter Sitzungscookies (Session Cookies) gespeichert wird, damit man sich nicht für jede neue Seite eines Online-Shops erneut anmelden muss.
Allerdings ist es möglich, solche Session Cookies zu stehlen oder zu entführen. Wenn ein Angreifer den Sitzungscookie in einem Webbrowser übernehmen kann, übernimmt er damit auch die laufende Sitzung und die Identität des angemeldeten Nutzers. Trotz Zwei-Faktor-Authentifizierung lässt sich also ein Zugang zu einem Online-Dienst kapern, wenn man nicht weitere Sicherheitsvorkehrungen trifft.
Es kommt auf das richtige Nutzerverhalten an
Um Ihre Online-Zugänge besser zu schützen und eine Cookie-Entführung möglichst zu verhindern, achten Sie darauf, dass die Sitzungscookies so kurz wie möglich gespeichert werden. Wichtig ist es deshalb, dass Sie sich nicht nur aus dem Online-Shop oder der Online-Bank abmelden, sondern auch den Browser komplett schließen.
Ist der Browser geschlossen, wird das Session Cookie ungültig. Viele Benutzer melden sich niemals ab, oder sie schließen einen Browser nicht. Das erhöht allerdings das Risiko für einen Cookie-Diebstahl.
Doch nun wissen Sie: Allein die Nutzung von 2FA ist kein Garant für einen starken Zugangsschutz. Bei Online-Zugängen zum Beispiel könnten Angreifer die Cookies stehlen, die als Nachweis für die erfolgreiche Anmeldung gesetzt werden. Denken Sie deshalb immer an die zeitliche Begrenzung für Sitzungscookies und damit an das Schließen des Browsers nach der Abmeldung.
Schützen Sie Ihre Online-Zugänge richtig? Machen Sie den Test!
Frage: Wenn mein Passwort um einen Fingerabdruck bei der Anmeldung ergänzt wird, kann keiner meinen Online-Zugang zum Webshop oder zum Online-Banking übernehmen. Stimmt das?
- Nein, selbst eine Zwei-Faktor-Authentifizierung im Browser lässt sich umgehen, zum Beispiel durch Entführung des Session-Cookies.
- Ja, denn wer sollte meinen Fingerabdruck fälschen können?
Lösung: Die Antwort 1. ist richtig. Leider können Angreifer Sitzungscookies stehlen und missbrauchen, um damit bestehende Online-Sitzungen zu übernehmen. Der Diebstahl des Cookies ist dabei ein Diebstahl der digitalen Identität. Beenden Sie deshalb nach der Abmeldung von einem Online-Dienst immer auch den Browser.
Frage: Blockiere ich alle Cookies über den Browser, erhöht dies den Zugangsschutz. Stimmt das?
- Ja, denn ohne Cookies im Browser können auch keine Cookies gestohlen werden. So kann ich das Aushebeln des Zugangsschutzes vermeiden.
- Nein, denn der Browser braucht die Sitzungscookies, um wie gewünscht zu funktionieren. Sogenannte technische Cookies (zum Beispiel für die Warenkorb-Funktion) sollte man nicht blockieren.
Lösung: Die Antwort 2. ist richtig. Eine vollständige Blockade von Cookies kann zwar die feindliche Übernahme von Sitzungscookies und laufenden Online-Sitzungen verhindern. Aber dann arbeiten Webbrowser, Online-Shop und Online-Bank nicht mehr wie gewünscht und erforderlich.
Sitzungscookies verhindern, dass Sie sich als Nutzer fortlaufend im Online-Shop anmelden müssen während eines Shopping-Vorgangs. Ohne Cookies können Sie keine Produkte im Online-Warenkorb sammeln und gemeinsam bezahlen. Deshalb müssen Sie die Session Cookies durch den richtigen Umgang mit dem Webbrowser besser schützen. Es hilft nicht, einfach alle Cookies zu blockieren.