Security: Datenbank informiert über Identitätsklau
Das Hasso-Plattner-Institut (HPI) der Universität Potsdam hat neue Werkzeuge vorgestellt, die die Sicherheit der Nutzer im Web verbessern sollen. Über eine neue Abfrage lässt sich ermitteln, ob Name, Kontodaten oder Passwörter in einschlägigen Foren oder etwa auf Pastebin veröffentlicht wurden. Ein anderes Werkzeug überprüft die Sicherheit des Browsers oder informiert bei Bedarf über Sicherheitslücken in Software.
Unter dem Namen HPI Identity Leak Checker(öffnet im neuen Fenster) sollen Nutzer künftig bei Eingabe ihrer E-Mail-Adresse informiert werden, wenn beispielsweise Nutzername samt Passwörtern oder Kontodaten öffentlich im Internet kursieren. Dabei durchsuchen Mitarbeiter des HPI auch einschlägige Foren oder Pastebin nach öffentlich zugänglichen Datensätzen, ein mitunter aufwendiges Verfahren, wie Marian Gawron vom HPI erklärte. Damit unterscheide sich der Dienst aber von dem des BSI , der in erster Linie geklaute E-Mail-Passwörter sammelt. Außerdem sei die Quelle des BSI nicht öffentlich, sagte Gawron.
Browser auf Sicherheitslücken prüfen
Mit einem zweiten Werkzeug können Nutzer ihren Browser und die darin installierten Plugins auf Sicherheitslücken überprüfen lassen(öffnet im neuen Fenster) . Der neue Dienst auf der Webseite des Projekts greift ebenfalls auf die seit 2013 zugängliche Schwachstellendatenbank(öffnet im neuen Fenster) für IT-Angriffsanalysen des HPI zu. Die dort verfügbaren Informationen über Sicherheitslücken werden dreimal täglich aus verschiedenen Quellen aktualisiert, etwa NVD, CPE, OSVDB, Secunia, SecurityFocus, Microsoft Security Bulletins, Google Security Notes oder SAP Security Notes. Die Informationen werden im XML-Format bereitgestellt und lassen sich auch über ein API abfragen. Die dafür verwendete In-Memory-Datenbank HANA von SAP lässt sich besonders schnell durchsuchen.
Wer sich auf der Webseite registriert, kann dort auch eine Liste mit Software hinterlegen. Er erhält dann eine E-Mail, falls eine Sicherheitslücke in einer Anwendung bekanntwird. Langfristig soll es ein Plugin oder eine Software geben, die auf dem Rechner eines Nutzers ein Softwareinventar erstellt und die so die Übermittlung von Warnungen zu Schwachstellen automatisiert. Gegenwärtig sei das aber aufgrund der NSA-Affäre eine Funktion, die Nutzer womöglich eher misstrauisch mache, sagte Gawron.