![(In)Security of Mandatory Security Software for Financial Services in S. Korea [pdf]](/images/4DC0F9AA-6144-4FC6-A01A-E3A0B51F99BF)
Südkorea ist bekannt für seine hochentwickelte Informations- und Kommunikationstechnologie, die das Land zu einem der digital fortschrittlichsten weltweit macht. Besonders im Bereich der Finanzdienstleistungen wird sehr großer Wert auf Sicherheit gelegt. Aufgrund wiederholter Cyberangriffe und Spionagefälle, unter anderem durch nordkoreanische Hackergruppen, hat die südkoreanische Regierung schon seit über einem Jahrzehnt eine verpflichtende Sicherheitssoftware namens Korea Security Applications (KSA) 2.0 eingeführt. Diese Software soll unter anderem durch Funktionen wie sicheres Kommunizieren, Abwehr von Keyloggern und Virenschutz eine umfassende Sicherheit für Online-Banking und andere finanzielle Transaktionen bieten.
Doch trotz dieser ambitionierten Ziele gehören KSA-Anwendungen in Südkorea heute zu den umstrittensten Systemkomponenten mit erheblichen Sicherheitsbedenken. Die aktuelle Diskussion hat insbesondere an Bedeutung gewonnen, nachdem 2023 umfangreiche Cyberattacken erfolgten, die Sicherheitslücken von KSA 2.0 ausnutzten und Millionen von PCs in Banken sowie Regierungsbehörden kompromittierten. Dies wirft ein kritisches Licht darauf, wie sicher eine Pflichtsoftware sein kann, die tief ins System eingreift und gleichzeitig zahlreiche Risiken mit sich bringt. Die Geschichte von KSA 2.
0 ist eng mit den gesetzlichen Vorgaben für Banken und Finanzdienstleister verknüpft. Die Software wurde so konzipiert, dass sie Webseiten privilegierten Zugriff auf Systemressourcen gewährt, der über das hinausgeht, was moderne Webbrowser üblicherweise erlauben. Dies soll beispielsweise den Schutz vor Malware durch erweiterte Keylogger-Prävention oder gesicherte Kommunikationskanäle gewährleisten. Allerdings entsteht hierdurch ein fundamentaler Konflikt mit etablierten Sicherheitsmodellen von Webbrowsern und moderner Softwarearchitektur. KSA 2.
0 erhält Zugriffsrechte, die Sandboxen umgehen und somit Sicherheitsmechanismen außer Kraft setzen, die eigentlich dazu da sind, Schadsoftware und Angriffe zu verhindern. Eine tiefgehende Analyse von Forschern aus verschiedenen südkoreanischen Universitäten und Forschungseinrichtungen zeigte 2023, dass KSA 2.0 nicht nur Design- und Implementierungsfehler aufweist, sondern auch zahlreiche kritische Schwachstellen bietet. Dazu gehören insgesamt 19 im Detail untersuchte Sicherheitslücken, die potenziell Schlüsselstreicherfassung (Keylogging), Man-in-the-Middle-Angriffe, das Auslesen privater Schlüssel, das Ausführen von Schadcode aus der Ferne sowie Nutzer-Tracking ermöglichen. Einige dieser Probleme basieren auf einer inkorrekten Nutzung des TLS-Protokolls, wodurch die Verschlüsselungssicherheit kompromittiert wird.
Andere ergeben sich aus der Tatsache, dass die Sandbox-Mechanismen des Browsers mehrfach ausgehebelt werden, was grundsätzlich die Sicherheitsgrenzen von Webumgebungen unterminiert. Diese Erkenntnisse sind besonders beunruhigend vor dem Hintergrund, dass KSA 2.0 flächendeckend auf den PCs von Privatpersonen, Unternehmen und sogar Behörden in Südkorea installiert ist. Studien, die zeitgleich zur Sicherheitsanalyse durchgeführt wurden, enthüllten, dass nahezu alle Nutzer von Online-Banking-Dienstleistungen KSA 2.0 installiert hatten.
Zudem zeigte eine Bestandsaufnahme von 48 Systemen, dass pro PC im Durchschnitt neun verschiedene KSA-Anwendungen aktiv waren, teilweise veraltet und nicht auf dem neuesten Stand. Die hohe Verbreitung und oftmals fehlende Kenntnisse über die Funktionsweise der Software führen dazu, dass Nutzer eine trügerische Sicherheit empfinden, in Wahrheit jedoch erhebliche Gefahren ausgesetzt sind. Die Problematik von verpflichtender Sicherheitssoftware ist jedoch nicht auf Südkorea beschränkt. Andere Länder haben ähnliche Versuche unternommen, Software zur Kontrolle, Filterung oder Überwachung zentral vorzuschreiben – mit teilweise katastrophalen Folgen. Beispiele hierfür sind Chinas „Green Dam Youth Escort“, die 2009 für die Zensur und Jugendschutzpflicht eingeführt wurde, ohne dabei die Nutzerfreundlichkeit und Sicherheit zu gewährleisten.
Ebenso versuchte die kasachische Regierung 2019, ein rootsicheres Zertifikat zentral zu installieren, was erhebliche Bedenken hinsichtlich Privatsphäre und Netzneutralität auslöste. Russland mit seinem „Souveränen Internetgesetz“ verfolgt gleichermaßen den Ansatz, den Datenfluss und die Kontrolle im Inland zu erhöhen, was Auswirkungen auf die Datensicherheit hat. Diese Länderbeispiele zeigen, dass Pflichtsoftware bei unzureichender Prüfung und Transparenz erhebliche Sicherheits- und Datenschutzrisiken birgt. Die Gefahren, die von KSA 2.0 ausgehen, haben sich 2023 in mehreren realen Cyberangriffen durch nordkoreanische Hackergruppen manifestiert.
Unter Ausnutzung der KSA-Schwachstellen wurden Supply-Chain-Attacken durchgeführt, bei denen schädliche Software via Updates oder Modifikationen an KSA-Komponenten an viele Millionen Nutzer verteilt wurde. 61 Institutionen gerieten so in den Fokus der Angriffe, und mehr als 10 Millionen Geräte wurden infiziert. Diese Angriffe unterstreichen die erheblichen nationalen Sicherheitsrisiken, die sich aus der tiefen Verwurzelung einer einzigen Software im Finanzsektor ergeben. Auf technischer Ebene zeigt die Untersuchung, dass KSA 2.0 wesentliche Standards moderner Websicherheit missachtet.
Indem sie etwa die Sandbox-Strategien moderner Browser unterwandert, öffnen sich Angriffsvektoren, über die schädliche Websites oder böswillige Programme deutlich leichter schädlichen Code einschleusen können. Noch gravierender ist die fehlerhafte TLS-Implementierung, die eine Manipulation und Abhörung verschlüsselter Verbindungen ermöglicht. Die missglückten Schutzmechanismen gegen Keylogger werden durch unzureichende Kontrolle über das Nutzerverhalten verschärft, wodurch Angreifer Zugang zu sensiblen Eingaben erlangen. Auch der Mangel an Datenschutzvorkehrungen führt zur umfangreichen Identifikation und Nachverfolgung von Benutzern, ohne dass deren Zustimmung eingeholt wird. Vor dem Hintergrund dieser Erkenntnisse haben Forscher die Hersteller und zuständigen Behörden über die entdeckten Schwachstellen informiert.
Daraufhin wurden mehrere Updates und Patches ausgegeben, um die kritischen Sicherheitslagen zu entschärfen. Dennoch bleibt die grundsätzliche Frage bestehen, ob eine verpflichtende und tief in das System eingreifende Software der richtige Ansatz ist, um die Cybersicherheit von Finanzdienstleistungen zu gewährleisten. Aus der Benutzerperspektive zeigt eine breit angelegte Umfrage mit 400 Teilnehmern, dass trotz der verpflichtenden Installation ein Großteil der Nutzer die Funktionsweise und die Risiken der Sicherheitssoftware nicht versteht. Dieses Informationsdefizit ist problematisch, da es die Möglichkeit erhöht, in Phishing-Fallen oder beim Download von Schadsoftware zu geraten, die sich als legitime KSA-Komponenten tarnen. Weiterhin demonstriert die Verbreitung veralteter Versionen der KSA-Software, dass der Patch-Vorgang und die Wartung nicht ausreichend koordiniert sind, was Sicherheitspatches ineffektiv macht.
Langfristig gesehen weist die Situation in Südkorea auf eine grundlegende Herausforderung hin, mit der viele Nationen konfrontiert sind: Wie kann eine Balance zwischen Sicherheit durch verpflichtende Maßnahmen und dem Schutz der Privatsphäre sowie Systemintegrität erreicht werden? Eine Überregulierung mit zentral getriebenen Softwarelösungen birgt Risiken, die im Notfall nationale Sicherheitsbedenken auslösen können. Gleichzeitig ist der Schutz von Finanzdaten und Systemen essentiell, um Vertrauen in die digitale Wirtschaft aufrechtzuerhalten. Ein möglicher Ansatz wäre die Förderung von transparenten, modulartigen Sicherheitslösungen, die auf offener Software und international anerkannten Standards basieren. Zudem muss die Nutzeraufklärung stark verbessert werden, sodass Verbraucher die Tools richtig verstehen und anwenden können. Die Einbindung unabhängiger Sicherheitsforschungen vor der Einführung neuer verpflichtender Softwarekomponenten könnte ebenfalls dazu beitragen, Risiken frühzeitig zu erkennen und abzumildern.
Südkoreas Fall ist deshalb ein mahnendes Beispiel für die Gefahren einer zu großen Abhängigkeit von einer einzigen verpflichteten Software im Finanzsektor. Es zeigt, dass selbst gut gemeinte Maßnahmen erhebliche Sicherheitslücken enthalten können, die von Angreifern international ausgenutzt werden. Die Lehren aus den Vorfällen sollten andere Länder dazu bewegen, bei ähnlichen Initiativen besonders vorsichtig zu sein und eine ausgewogene Strategie zu verfolgen, die Sicherheit, Nutzerfreundlichkeit und Datenschutz umfassend berücksichtigt. Nur so lässt sich eine vertrauenswürdige digitale Infrastruktur schaffen, die den Herausforderungen der heutigen Cyberwelt gewachsen ist.
![SchoolHouse Rock – No More Kings[video]](/images/F9F42774-4473-4402-AEF0-A92F60E4EC89)
