Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

E-Commerce

PayPal und andere Unternehmen speichern sensible Kundendaten im Browser-Cache [Studie]

Laut einer Studie der amerikanischen Sicherheitsberatungsfirma ISE speichern viele Finanz- und Gesundheitsdienstleister sensible Kundendaten im Browser-Cache des Nutzers. Obwohl der HTTPS-Standard Möglichkeiten bietet um dies zu verhindern. Im Cache können die Daten von Dritten problemlos ausgelesen werden.

Daten der Kunden finden sich unverschlüsselt im Browser-Cache wieder

Die Sicherheitsberatungsfirma ISE hat 30 Finanzdienstleister, Versicherungen und Gesundheitsdienste dahin gehend untersucht, ob ihre Webseiten dafür sorgen, dass sensible Kundendaten nicht im Browser-Cache landen. Dort sind die Daten nicht verschlüsselt und für jeden relativ einfach auszuspionieren. Von den 30 Seiten haben nur 21 die notwendigen Schritte unternommen, um die Daten der Nutzer ausreichend davor zu schützen.

Trotz HTTPS: Die Sicherheitsfirma fand bei ihren Stichproben Daten wie diese unverschlüsselt im Cache. (Screenshot: ISE)
Trotz HTTPS: Die Sicherheitsfirma fand bei ihren Stichproben Daten wie diese unverschlüsselt im Cache. (Screenshot: ISE)

Studie: Seitenbetreiber verstehen HTTPS nicht

Das Kommunikationsprotokoll HyperText Transfer Protocol Secure, oder kurz HTTPS, wurde 1994 von Netscape entwickelt, um die Übertragung von sensiblen Daten gegenüber neugierigen Dritten zu schützen. Ursprünglich gab es keine Möglichkeit für den Server zu erklären, welche Daten sensibel sind und besser nicht im Cache gespeichert werden sollten. Daher speicherten Browser mit HTTPS geschützte Inhalte generell nicht im Cache. Später entwickelten sich verschiedene konkurrierende Modelle zum Umgang mit diesen Daten. Erst ab 1999 gab es einen einheitlichen Standard. Dieser gibt vor, dass ein Browser nur dann keine HTTPS-Inhalte im Cache speichern darf, wenn der Server dies explizit verbietet. Dies erhöht logischerweise die Performance, weswegen tendenziell nichts dagegen einzuwenden ist. Allerdings geht man dabei von der Annahme aus, dass der Server schon wissen wird, welche Daten besser nicht lokal, unverschlüsselt gespeichert werden. Wie sich nach einer Untersuchung der Sicherheitsfirma ISE jetzt herausgestellt hat, war diese Annahme falsch.

70 Prozent der getesteten Webseiten ignorierten den gültigen Standard

In der Zeit zwischen 1994 und 1999, als es noch keinen einheitlichen Standard zum Cachen von sensiblen Daten gab, entwickelten die Browserhersteller unterschiedliche Methoden, um diesem Problem zu begegnen. Noch immer existieren daher vier unterschiedliche Wege, um dafür zu sorgen, dass bestimmte Informationen nicht lokal auf dem Rechner abgespeichert werden. Allerdings entspricht nur Einer dem geltenden Standard. Das Problem dabei ist, dass Chrome und Firefox ab Version 4.0 nur die standardisierten Eingaben verstehen und befolgen. Anscheinend hat sich dies nicht bei allen Entwicklern herumgesprochen, denn von den getesteten Seiten nutzten 70 Prozent genau diesen Weg nicht. Dies ist umso besorgniserregender, wenn man bedenkt, dass Chrome und Firefox zusammengenommen einen Marktanteil von 60 Prozent haben dürften. Immerhin erlaubt Microsofts Internet Explorer noch immer alle alten Modelle, befolgt aber auch den gültigen Standard. Und Apples Safari speichert generell keine per HTTPS gelieferten Daten im Cache ab.

Auch dieser Check konnte problemlos aus dem Cache ausgelesen werden. (Screenshot: ISE)
Auch dieser Scheck konnte problemlos aus dem Cache ausgelesen werden. (Screenshot: ISE)

Sicherheitsdienstleister fand Namen, Adressen und Kontodetails im Browser-Cache

Unter den Daten, die sich ohne Probleme im Cache finden ließen, waren neben der Wohnanschrift, den Telefonnummern oder der E-Mail-Adresse auch Daten wie die Kontonummer oder sogar der Kontostand des Nutzers zu finden. Es bleibt festzuhalten, dass es sich ausschließlich um amerikanische Webseiten handelte. Wobei eine der Seiten die von PayPal, die natürlich auch hierzulande am Markt vertreten sind. Ob sich die Ergebnisse auf deutsche Banken und Versicherer übertragen lassen, bleibt unklar. Auszuschließen ist es aber natürlich nicht. Wer auf Nummer sicher gehen möchte, aber auf Firefox beziehungsweise Chrome nicht verzichten will, der sollte für sein Online-Banking am besten den privaten Modus in Firefox respektive den Inkognito-Modus in Chrome bemühen.

Weiterführende Links:

 

Bitte beachte unsere Community-Richtlinien

Eine Reaktion
Peter

Für mich als unbedarfter User stellt sich die Frage, ob man nun diese Daten online bei den Usern "abgegriffen" und aus dem Cache gelesen hat oder ob man für dieses auslesen am PC direkt Zugang oder zumindest Berechtigung per Remote zugriff haben muss...

Mir ist zwar bewusst, dass z.b. Papal auf den Cache zurückgreift, den PP selbst hinterlegt in meinem Browser... Aber kann dann z.B. BMW genauso einfach auf den Datensatz von PP zurückgreifen, der bei mir vor Ort gespeichert ist?

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst