idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
05/21/2026 11:43

Audience Injection: Stuttgarter Forscher entdecken neuartige IT-Angriffe – Abwehrmechanismus ist schon startbereit

Jacqueline Gehrke Stabsstelle Hochschulkommunikation
Universität Stuttgart

    Forschende vom Institut für Informationssicherheit der Universität Stuttgart haben jetzt einen Sicherheitsstandard gegen eine neue Art Cyberattacke entwickelt, die sie selbst vorher auch entdeckt hatten. Die Attacken richten sich speziell gegen Web-Protokolle, über die zum Beispiel Anmeldeprozesse gesteuert werden. Betroffen sind unter anderem Branchen, die mit sensiblen Daten zu tun haben – Gesundheitswesen, Versicherungen, Banken. Beim "IEEE Symposium on Security and Privacy" in San Francisco stellen die Stuttgarter Forschenden ihren Abwehrmechanismus vor. DOI: 10.1109/SP63933.2026.00116

    Bestimmte Formen von Cyberangriffen tauchen immer wieder in den Schlagzeilen auf. Ransomware-Attacken gehören dazu: Die Angreifer dringen über einzelne Geräte ins IT-System ein, verschlüsseln Daten und fordern ein Lösegeld (ransom). Eine ganz neue Klasse von Cyberattacken haben Forschende vom Institut für Informationssicherheit (SEC) der Universität Stuttgart – Institutsleiter Prof. Dr. Ralf Küsters, Dr. Tim Würtele und Pedram Hosseyni – im Sommer 2025 entdeckt. „Angriffsziel sind keine einzelnen PCs oder Websites, sondern Protokolle – Anleitungen dafür, wie Parteien im Internet Nachrichten möglichst sicher austauschen“, erklärt Tim Würtele. Solche Protokolle stecken hinter der sichtbaren Oberfläche von Websites und Apps oder bestimmen, wie Software funktioniert. Ihre Funktionsweise wird in sogenannten Standards definiert.

    Falsche Identität

    Die Grundidee hinter den Attacken ist immer dieselbe. Sie zielen auf einen allgegenwärtigen, von Protokollen gesteuerten Vorgang ab, den Nachweis der Identität von Services und auch von Personen. Beispiel: Partei A und Partei B tauschen sich aus. B möchte sicher sein können, dass A auch wirklich A ist – und nicht jemand, der sich als A ausgibt. Zu diesem Zweck signiert A digital ein Dokument, das den Namen von A enthält. So ist klar, wer sich hier gerade identifiziert. Zusätzlich enthält das Dokument einen zweiten Wert, den „Audience“-Wert, der angibt, gegenüber wem sich A identifiziert, im Beispiel ist das die Partei B. Das Problem: Es gibt bestimmte Schwachstellen in den Protokollen, die eine bösartige Partei C ausnutzen kann, um den „Audience“-Wert zu manipulieren und sich dann gegenüber B als A auszugeben. Weil C dabei einen falschen Wert in den Nachweisprozess „injiziert“, hat diese Angriffsform den Namen „Audience Injection Attacks“ bekommen.

    Die Injektionsmethode wurde bei einer Sicherheitsanalyse für das Protokoll „OpenID Federation“ der US-amerikanischen OpenID Foundation entdeckt, deren Protokoll-Standards weltweit eingesetzt werden. Das Stuttgarter Institut für Informationssicherheit ist auf die Analyse von solchen Protokollen spezialisiert und wendet dabei sein eigenes, von Institutsleiter Ralf Küsters mitentwickeltes „Web Infrastructure Model“ an. Ein mathematisches Modell, das die Sicherheit der Protokolle beweist und anzeigt, ob das untersuchte Protokoll angreifbar ist oder nicht. Da viele Protokolle weltweit mit dem Stuttgarter Modell analysiert werden, kam schnell heraus, dass OpenID Federation kein Einzelfall ist. Eine ganze Reihe von verbreiteten Protokollen sind gefährdet. Etwa das „OpenID Connect“-Protokoll, das unter anderem hinter dem Login bei Google-, Apple- oder Microsoft-Services steckt.

    Sensible Daten

    Weiterhin bedroht ist die Protokoll-Familie FAPI 2.0, die der Nutzer-Anmeldung und Rechteverwaltung dient und in Geschäftsbereichen eingesetzt wird, die mit sensiblen Daten umgehen: Gesundheitsorganisationen, Banken oder Versicherungen. Wer diese Protokolle hackt, verschafft sich Zugriff auf Patientendaten, Fondsanlagen oder Kontonummern. In diesen Bereichen sichert FAPI 2.0 weltweit Hunderte Millionen Accounts – zum Beispiel im „Norsk Helsenett“, der nationalen Gesundheits-Plattform Norwegens, die für die neuartigen Angriffe anfällig gewesen ist.

    Nach Entdeckung des neuen Typs Cyberbedrohung im letzten Jahr informierten die Stuttgarter Forscher zunächst betroffene Standardisierungsgremien und Softwareanbieter, damit betroffene Software vor Veröffentlichung der Angriffe gesichert werden konnte. Innerhalb von nur einigen Monaten erarbeiteten sie dann zusammen mit den Standardisierungsgremien neue, abgesicherte Protokoll-Standards – ein Prozess, der üblicherweise mehrere Jahre dauert. Die Angriffe zu verhindern, sei gar nicht so kompliziert, erklärt Würtele: „Der Absender A hat eigentlich schon alle nötigen Informationen, um den Audience-Wert sicher zu wählen – und zwar die exakte Internet-Adresse des Empfängers B.“ Entsprechend schreibt der in Stuttgart entwickelte neue Standard vor: Der Absender des Identifikations-Dokuments kann nur diesen einen Audience-Wert nutzen, keinen anderen.

    Analysen früh genug durchführen

    Die Forschenden stellen die neue Klasse von Cyberangriffen und die neuen Sicherheitsmechanismus auf dem „IEEE Symposium on Security and Privacy“ in San Francisco vor, dem wichtigsten Treffen der internationalen IT-Sicherheitsforschung. Parallel arbeitet das Stuttgarter Institut daran, den Arbeitsaufwand bei den Analysen zu reduzieren und den ganzen Prozess zu beschleunigen. Besonders die Beweisführung – sicher/unsicher – innerhalb des mathematischen Modells soll künftig Computer-gestützt durchgeführt werden können. „Die im Moment noch zeit- und expertiseintensive Erstellung des Modells wäre dann einfach eine programmierte Implementierung des Protokolls in einer geeigneten Programmiersprache, wie sie jeder erfahrene Softwareentwickler schreiben kann“, so Würtele.

    Ein weiterer wichtiger Punkt ist, dass die Analysen in Zukunft schon während – und nicht erst nach – der Entwicklung der Protokolle stattfinden. Denn: Stecken die Protokolle erst einmal in tausenden Softwarepaketen, sind Updates zeit- und kostenintensiv für alle Beteiligten. Viel besser wäre es, wenn die Protokolle von Anfang an sicher sind. Genau so soll es bei der kommenden EU Digital Identity Wallet gemacht werden. Hier steht das Institut auch wieder im engen Austausch mit der OpenID Foundation. Unter dem Dach der US-Organisation entstehen die Protokolle, die der „digitalen Brieftasche“ zugrunde liegen werden.

    Web Infrastructure Model

    Die Stuttgarter mathematischen Modelle beschreiben ein Protokoll in Form von sehr komplizierten Gleichungen. Wenn alles gut ist, steht am Ende ein sogenannter Sicherheitsbeweis. Heißt: Es ist mathematisch kein Angriff möglich – einschließlich aller denkbaren und nicht denkbaren bisher unbekannten Angriffe. Geht die Gleichung dagegen nicht auf, bedeutet das zum Beispiel: Der Angreifer C kann sich als unbescholtener A ausgeben. Würtele: „Unser Modell ist nach wie vor das detaillierteste Modell, sozusagen die Speerspitze der Forschung. Wir können damit sehr komplexe Protokolle in hohem Detailgrad untersuchen, und das ohne alle Details aus tausenden Seiten Standards gleichzeitig im Kopf haben zu müssen.“ Mit dem Modell gelang es in der Vergangenheit immer wieder, neuartige Angriffe zu entdecken – selbst dann, wenn die analysierten Protokolle vorher schon in anderen Modellen untersucht worden waren.


    Contact for scientific information:

    Dr. Tim Würtele, Universität Stuttgart, Institut für Informationssicherheit (SEC), Tel.: +49 711 685 88468, E-Mail: tim.wuertele@sec.uni-stuttgart.de


    Original publication:

    Pedram Hosseyni, Ralf Küsters, and Tim Würtele, “Audience Injection Attacks: A New Class of Attacks on Web-Based Authorization and Authentication Standards,” in 47th IEEE Symposium on Security and Privacy (S&P 2026), 2026, pp. 205–222. DOI: https://computer.org/10.1109/SP63933.2026.00116


    More information:

    https://www.uni-stuttgart.de/universitaet/aktuelles/meldungen/Audience-Injection...
    https://www.sec.uni-stuttgart.de/de/
    https://www.sec.uni-stuttgart.de/research/wim/


    Images

    Dr. Tim Würtele forscht am Institut für Informationssicherheit (SEC) an Protokollen für digitale Identitäten.
    Dr. Tim Würtele forscht am Institut für Informationssicherheit (SEC) an Protokollen für digitale Ide ...
    Source: Institut SEC
    Copyright: Institut für Informationssicherheit (SEC)


    Criteria of this press release:
    Journalists, all interested persons
    Information technology
    transregional, national
    Research results, Transfer of Science or Research
    German


     

    Dr. Tim Würtele forscht am Institut für Informationssicherheit (SEC) an Protokollen für digitale Identitäten.


    For download

    x

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).