Bericht: Kundenportale von Energieversorgern nur unzureichend geschützt
Das Magazin für professionelle Informationstechnik, iX, hat sowohl die Art als auch die Qualität der Schutzmechanismen der Online-Portale von 240 deutschen Energieversorgern untersucht. Es kommt zu dem Ergebnis: 15 ließen sich komplett unverschlüsselt über HTTP ansprechen, eines bot eine Schlüssellänge von 40 und 56 Bit an, was komplett unsicher sei. 24 boten das Verschlüsselungs-Verfahren "RC4" an und 22 das Verfahren "SSL.v3" – beide gelten als gebrochen. 98 sogar würden das als unsicher eingestufte Verfahren "3DES" anbieten und 15 unterstützen demnach nicht die neueste Version des TLS-Verfahrens.
Im Detail richtet sich die Untersuchung auf den Freischaltvorgang der personenbezogenen Daten von Kunden in einem Online-Portal. Dazu muss sich dieser authentifizieren, sprich er muss Informationen eingeben, die ihn als rechtmäßigen Besitzer eines Kundenkontos identifizieren. Die Entropie der hier abgefragten Informationen muss aus datenschutzrechtlichen Gründen hoch sein, heißt es weiter. Damit soll simples Ausprobieren zeitlich und wirtschaftlich unrentabel gemacht werden. Dies lasse sich durch eine sehr lange Zeichenkette erreichen oder durch das Kombinieren von mindestens zwei kürzeren Zeichenketten.
Nummernreihenfolgen ableiten
In den untersuchten Portalen wurden laut iX folgende Merkmale für das Freischalten der Konten verwendet: Kundennummer, Zählernummer, Vertragsnummer, Geburtsdatum, Postleitzahl – wobei die letzten beiden nur selten eingesetzt würden. In allen Portalen waren mindestens zwei dieser Merkmale für die Freischaltung nötig.
Eine 12-stellige Vertragsnummer biete zwar in der Theorie einen Raum von einer Billion Möglichkeiten, in der Realität sei die Entropie aber deutlich kleiner. Man könne bei Kundennummern, Vertragsnummern und Zählernummern davon ausgehen, dass diese fortlaufend vergeben werden. Für Unternehmen sei es sinnlos, Kundennummern und Verträge nach dem Zufallsprinzip zu vergeben, heißt es weiter. Bei Postleitzahlen sei nicht nur die Entropie mit Abstand am kleinsten, man könne auch davon ausgehen, dass die meisten Kunden Postleitzahlen im Einzugsgebiet der Stadt haben, in der der Betreiber des Portals ansässig sei. Selbst eine Stadt wie Berlin habe nur 191 verschiedene Postleitzahlen, bundesweit listet Wikipedia 8208 Hauszustellungspostleitzahlen auf.
Werden allerdings Kunden-, Vertrags- und Zählernummern fortlaufend vergeben, könne ein Angreifer, der im Besitz einer gültigen Nummer ist, davon ausgehen, dass er andere gültige Nummern erhält, indem er von seiner aus aufwärts- oder abwärtszähle. So könne er mindestens ein existierendes Merkmal für die Freischaltung ganz einfach ermitteln.
Informationslecks nutzen
Sollte kein gültiges Merkmal vorhanden sein, könne man auch von Informationslecks bei der Fehlermeldung zu profitieren. Über die Funktion "Passwort vergessen" etwa, erhalten Anwender in der Regel eine E-Mail zur Wiederherstellung ihres Passworts, wenn zuvor eine andere Information des Benutzerkontos wie etwa die Kundennummer angegeben wurde, so der Bericht. Die Fehlermeldung verrate jedoch oftmals, ob die eingegebene Information im System existiert. Der Hinweis "Für diese Kundennummer gibt es keinen Eintrag im System" etwa, könne den Angreifer dazu verleiten, durch simples Ausprobieren gültige Merkmale zu ermitteln.
Die rein mathematische Entropie von Freischaltungsmerkmalen sei daher grundlegend falsch. Mit den heutigen Bandbreiten deutscher Internetprovider könnten selbst Bürger mit einem normalen Internetanschluss etwa 20 000 automatisierte Anfragen pro Sekunde verschicken. Die tatsächliche Zahl der möglichen Freischaltungsversuche hänge im Wesentlichen von der CPU des Servers des Onlineportals ab.
Vier Betreiber von Onlineportalen verwendeten laut der iX-Untersuchung zur Authentifizierung die Vertragsnummer zusammen mit der Postleitzahl der Kunden. Von 240 Portalen hatten 109 zudem Informationslecks bei Fehlermeldungen, die Angreifer konnten so Rückschlüsse auf eines der beiden zur Authentifizierung erforderlichen Merkmale ziehen.
Captchas als Schutz gegen Brute-Force
Zwar würden manche Betreiber zum Schutz gegen automatisiertes Ausprobieren (Brute Force) sogenannte Captchas verwenden. Diese zwingen den Nutzer, zusätzlich zu den Merkmalen noch Aufgaben zu lösen, die ein Computerprogramm nach aktuellem Stand der Technik nicht lösen könne. Auch hier tauchten demnach Mängel auf. Zum einen gab es zwei Fälle, in der der Captcha technisch nicht richtig eingebunden gewesen sein soll. Zum anderen würden Captchas generell keine Angriffe durch Menschen blockieren, da sie dazu programmiert seien, Menschen von Computern zu unterscheiden. Neugierige Kunden ohne jegliches Hacker-Wissen könnten bei den Betreibern, die mit Postleitzahlen arbeiten, trotz Captcha statistisch weniger als 30 Minuten brauchen, um an Daten eines anderen Kunden zu gelangen. Insgesamt hätten nur 39 von den 240 Portalen Captchas eingesetzt, das würde nahelegen, dass 85 Prozent der Portale nicht gegen automatisierte Angriffe geschützt seien. Brute-Force-Angriffe könnten daher sehr effektiv ausfallen, wenn sich, wie in den meisten untersuchten Fällen auch noch ein Authentifizierungsmerkmal leicht ableiten lasse.
Angeprangert wurden auch die Verschlüsselungsverfahren. Etliche seien veraltet oder unsicher. Dies sei kritisch zu bewerten, auch im Hinblick auf die ab 25. Mai in Kraft tretende Europäische-Datenschutzgrundverordnung, die den Stand der Technik bei der Verschlüsselung fordere. Der Bericht kommt zu dem vernichtenden Urteil, dass Energieversorger ein Beispiel dafür seien, wie Firmen auf keinen Fall mit ihren Kundendaten umgehen sollten. Für die Analyse der 240 Onlineportale wurde laut dem Magazin keinerlei Hacker-Tools oder Brute-Force-Methoden verwendet. Art und Länge der Freischaltungsmerkmale seien zudem an der auch für Laien aus den Eingabemasken zu erkennen. (sg)