Teil 1 – Was sind Cryptographic Failures?

von

Stefan
in , ,

Wenn der Tresor nutzlos wird

Stell dir vor, ein Unternehmen bewahrt Millionen Kundendaten in einem Tresor auf – aber der Schlüssel liegt direkt daneben oder der Tresor hat gar keine Tür. Genau so verhält es sich in der IT, wenn Verschlüsselung falsch eingesetzt oder ganz vergessen wird.
Das Ergebnis: sensible Daten liegen offen, auch wenn eigentlich ein Schutz vorgesehen war.

Definition

Cryptographic Failures sind Schwachstellen, die entstehen, wenn Daten nicht ausreichend durch Kryptografie geschützt werden. Das kann viele Gründe haben:

  • Kryptografie wird gar nicht genutzt (z. B. Passwörter im Klartext).
  • Es werden unsichere Algorithmen eingesetzt (z. B. MD5, SHA-1, DES).
  • Kryptografie wird falsch implementiert (z. B. fehlendes Salt bei Hashes).
  • Schlüssel werden unsicher verwaltet (z. B. im Quellcode gespeichert).

Früher sprach OWASP in den Top 10 von Sensitive Data Exposure. 2021 wurde die Kategorie umbenannt in Cryptographic Failures – um klarzumachen, dass nicht die Daten selbst das Problem sind, sondern der Fehler in der Kryptografie.

Typische Szenarien

Passwörter im Klartext

Ein Klassiker: Anwendungen speichern Passwörter direkt in der Datenbank, ohne Hashing. Wird die Datenbank kompromittiert, sind alle Accounts sofort offen.

Unsichere Transportwege

Wenn Logins oder API-Calls über HTTP statt HTTPS laufen, können Angreifer den Traffic mitlesen (Man-in-the-Middle). Selbst starke Passwörter nützen dann nichts.

Veraltete Algorithmen

Viele Systeme nutzen immer noch MD5 oder SHA-1 für Hashes. Mit moderner Hardware sind diese innerhalb von Sekunden geknackt.

Schlüssel im Code

Entwickler schreiben Keys in den Quellcode, z. B.:

const secretKey = "1234567890abcdef";

Wenn der Code in ein Repository hochgeladen wird (z. B. GitHub), landen die Schlüssel schnell in den falschen Händen.

Warum das so gefährlich ist

  • Hoher Impact: Angreifer erhalten Zugangsdaten, Finanzdaten oder Gesundheitsdaten.
  • Rechtliche Folgen: DSGVO, HIPAA oder PCI DSS fordern strikte Verschlüsselung.
  • Vertrauensverlust: Ein Leak von Passwörtern oder Kreditkartendaten zerstört Kundenvertrauen.

Ein prominentes Beispiel: 2019 wurde bekannt, dass Facebook hunderte Millionen Passwörter im Klartext gespeichert hatte – ein massiver Imageschaden.

Abgrenzung zu anderen Kategorien

  • Nicht nur Misconfiguration: Klartextdaten sind kein „Konfigurationsfehler“, sondern eine bewusste Design- oder Implementationsentscheidung.
  • Nicht nur Insecure Design: Selbst wenn das Design vorsieht „Wir verschlüsseln alles“, können Implementation-Fehler (z. B. harcoded Keys) zu Cryptographic Failures führen.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert