Depending on ...whom? Assessing the sovereignty and security of the Austrian internet

Bachelor-Studiengang IT Security

Florian Plainer

Betreuer: DI Peter Kieseberg

Webanwendungen können schon längst nicht mehr vollständig autonom funktionieren. Durch eine Vielzahl verschiedener Technologien, die laufend weiterentwickelt werden, ist es für Website-Betreiber oft nicht mehr wirtschaftlich alle notwendigen Komponenten einer Webanwendung selbst zu betreiben. Durch die Nutzung von Diensten wie beispielsweise „cdnjs“ können wartungsintensive JavaScript Programmbibliotheken einfach extern nachgeladen werden. So weit, so gut – doch was passiert, wenn ein solcher Dienst kompromittiert wird und die zur Verfügung gestellten Bibliotheken mit Schadcode überschrieben werden? Sämtliche Seiten, welche externe Ressourcen von dieser Quelle beziehen könnten dann ebenfalls manipuliert werden. Ob der wegfallende Mehraufwand für die Wartung einer Webanwendung einen Souveränitätsverlust dieser rechtfertigt, muss wohl jeder für sich entscheiden.

Für mich stellte sich nun jedoch die Frage: Wie sieht es eigentlich mit der Souveränität und der generellen Sicherheit im österreichischen Internet aus? Um das zu untersuchen, wurde eine leistungsstarke Web-Crawling Software erstellt, mit der mehr als 40.000 österreichische Websites (.at-Domains) untersucht wurden. Als Bezugsquelle für Domains diente die deutschsprachige Wikipedia. Die gesammelten Daten sollten Aufschluss darüber geben, aus welchen Ländern externe Ressourcen nachgeladen werden, wie viele Seiten verschlüsselte Übertragung (HTTPS) unterstützen und wie weit verbreitet HTTP Security Header zum Einsatz kommen. Ein besonderer Fokus wurde Websites der Regierung (.gv.at) gelegt, da ein Souveränitätsverlust dieser besonders kritisch wäre.

Ein Großteil der Seiten, ca. 78 %, ist direkt von Ressourcen außerhalb Österreichs abhängig. Etwa zwei Drittel dieser Ressourcen kommt aus den USA. Auch von den Websites der Regierung werden in fast 76 % der Fälle externe Ressourcen nachgeladen. HTTP Security Header werden kaum verwendet – der meist verwendete (HSTS) lässt sich nur auf ca. 18 % der Seiten finden. Positiv ist, dass mehr als die Hälfte der untersuchten Websites automatisch verschlüsselt (via HTTPS) kommunizieren. Eine Wiederholung der durchgeführten Untersuchungen in einigen Jahren könnte sich als spannend erweisen, da sich so feststellen ließe, ob das österreichische Internet in der Zwischenzeit souveräner bzw. sicherer geworden ist.