Universität Stuttgart
Universität Stuttgart
05/21/2026 | Press release | Distributed by Public on 05/21/2026 00:57
Audience Injection: Stuttgarter Forscher entdecken neuartige IT-Angriffe
Forschende vom Institut für Informationssicherheit der Universität Stuttgart haben jetzt einen Sicherheitsstandard gegen eine neue Art Cyberattacke entwickelt, die sie selbst vorher auch entdeckt hatten. Die Attacken richten sich speziell gegen Web-Protokolle, über die zum Beispiel Anmeldeprozesse gesteuert werden. Betroffen sind unter anderem Branchen, die mit sensiblen Daten zu tun haben - Gesundheitswesen, Versicherungen, Banken. Beim "IEEE Symposium on Security and Privacy" in San Francisco stellen die Stuttgarter Forschenden ihren Abwehrmechanismus vor. DOI: 10.1109/SP63933.2026.00116
Bestimmte Formen von Cyberangriffen tauchen immer wieder in den Schlagzeilen auf. Ransomware-Attacken gehören dazu: Die Angreifer dringen über einzelne Geräte ins IT-System ein, verschlüsseln Daten und fordern ein Lösegeld (ransom). Eine ganz neue Klasse von Cyberattacken haben Forschende vom Institut für Informationssicherheit (SEC) der Universität Stuttgart - Institutsleiter Prof. Dr. Ralf Küsters, Dr. Tim Würtele und Pedram Hosseyni - im Sommer 2025 entdeckt. "Angriffsziel sind keine einzelnen PCs oder Websites, sondern Protokolle - Anleitungen dafür, wie Parteien im Internet Nachrichten möglichst sicher austauschen", erklärt Tim Würtele. Solche Protokolle stecken hinter der sichtbaren Oberfläche von Websites und Apps oder bestimmen, wie Software funktioniert. Ihre Funktionsweise wird in sogenannten Standards definiert.
Falsche Identität
Die Grundidee hinter den Attacken ist immer dieselbe. Sie zielen auf einen allgegenwärtigen, von Protokollen gesteuerten Vorgang ab, den Nachweis der Identität von Services und auch von Personen. Beispiel: Partei A und Partei B tauschen sich aus. B möchte sicher sein können, dass A auch wirklich A ist - und nicht jemand, der sich als A ausgibt. Zu diesem Zweck signiert A digital ein Dokument, das den Namen von A enthält. So ist klar, wer sich hier gerade identifiziert. Zusätzlich enthält das Dokument einen zweiten Wert, den "Audience"-Wert, der angibt, gegenüber wem sich A identifiziert, im Beispiel ist das die Partei B. Das Problem: Es gibt bestimmte Schwachstellen in den Protokollen, die eine bösartige Partei C ausnutzen kann, um den "Audience"-Wert zu manipulieren und sich dann gegenüber B als A auszugeben. Weil C dabei einen falschen Wert in den Nachweisprozess "injiziert", hat diese Angriffsform den Namen "Audience Injection Attacks" bekommen.
Die Injektionsmethode wurde bei einer Sicherheitsanalyse für das Protokoll "OpenID Federation" der US-amerikanischen OpenID Foundation entdeckt, deren Protokoll-Standards weltweit eingesetzt werden. Das Stuttgarter Institut für Informationssicherheit (SEC) ist auf die Analyse von solchen Protokollen spezialisiert und wendet dabei sein eigenes, von Institutsleiter Ralf Küsters mitentwickeltes "Web Infrastructure Model" an. Ein mathematisches Modell, das die Sicherheit der Protokolle beweist und anzeigt, ob das untersuchte Protokoll angreifbar ist oder nicht. Da viele Protokolle weltweit mit dem Stuttgarter Modell analysiert werden, kam schnell heraus, dass OpenID Federation kein Einzelfall ist. Eine ganze Reihe von verbreiteten Protokollen sind gefährdet. Etwa das "OpenID Connect"-Protokoll, das unter anderem hinter dem Login bei Google-, Apple- oder Microsoft-Services steckt.
Dr. Tim Würtele forscht am Institut für Informationssicherheit (SEC) an Protokollen für digitale Identitäten.
Bild: Institut für Informationssicherheit (SEC)
Sensible Daten
Weiterhin bedroht ist die Protokoll-Familie FAPI 2.0, die der Nutzer-Anmeldung und Rechteverwaltung dient und in Geschäftsbereichen eingesetzt wird, die mit sensiblen Daten umgehen: Gesundheitsorganisationen, Banken oder Versicherungen. Wer diese Protokolle hackt, verschafft sich Zugriff auf Patientendaten, Fondsanlagen oder Kontonummern. In diesen Bereichen sichert FAPI 2.0 weltweit Hunderte Millionen Accounts - zum Beispiel im "Norsk Helsenett", der nationalen Gesundheits-Plattform Norwegens, die für die neuartigen Angriffe anfällig gewesen ist.
Nach Entdeckung des neuen Typs Cyberbedrohung im letzten Jahr informierten die Stuttgarter Forscher zunächst betroffene Standardisierungsgremien und Softwareanbieter, damit betroffene Software vor Veröffentlichung der Angriffe gesichert werden konnte. Innerhalb von nur einigen Monaten erarbeiteten sie dann zusammen mit den Standardisierungsgremien neue, abgesicherte Protokoll-Standards - ein Prozess, der üblicherweise mehrere Jahre dauert. Die Angriffe zu verhindern, sei gar nicht so kompliziert, erklärt Würtele: "Der Absender A hat eigentlich schon alle nötigen Informationen, um den Audience-Wert sicher zu wählen - und zwar die exakte Internet-Adresse des Empfängers B." Entsprechend schreibt der in Stuttgart entwickelte neue Standard vor: Der Absender des Identifikations-Dokuments kann nur diesen einen Audience-Wert nutzen, keinen anderen.
Analysen früh genug durchführen
Die Forschenden stellen die neue Klasse von Cyberangriffen und die neuen Sicherheitsmechanismus auf dem "IEEE Symposium on Security and Privacy" in San Francisco vor, dem wichtigsten Treffen der internationalen IT-Sicherheitsforschung. Parallel arbeitet das Stuttgarter Institut daran, den Arbeitsaufwand bei den Analysen zu reduzieren und den ganzen Prozess zu beschleunigen. Besonders die Beweisführung - sicher/unsicher - innerhalb des mathematischen Modells soll künftig Computer-gestützt durchgeführt werden können. "Die im Moment noch zeit- und expertiseintensive Erstellung des Modells wäre dann einfach eine programmierte Implementierung des Protokolls in einer geeigneten Programmiersprache, wie sie jeder erfahrene Softwareentwickler schreiben kann", so Würtele.
Ein weiterer wichtiger Punkt ist, dass die Analysen in Zukunft schon während - und nicht erst nach - der Entwicklung der Protokolle stattfinden. Denn: Stecken die Protokolle erst einmal in tausenden Softwarepaketen, sind Updates zeit- und kostenintensiv für alle Beteiligten. Viel besser wäre es, wenn die Protokolle von Anfang an sicher sind. Genau so soll es bei der kommenden EU Digital Identity Wallet gemacht werden. Hier steht das Institut auch wieder im engen Austausch mit der OpenID Foundation. Unter dem Dach der US-Organisation entstehen die Protokolle, die der "digitalen Brieftasche" zugrunde liegen werden.
Das Stuttgarter Modell ist weltweit im Einsatz und prüft die Sicherheit von Web-Protokollen. Es deckt immer wieder neuartige Angriffe auf, ist gründlicher und schaut genauer hin als andere Modelle.
Web Infrastructure Model
Die Stuttgarter mathematischen Modelle beschreiben ein Protokoll in Form von sehr komplizierten Gleichungen. Wenn alles gut ist, steht am Ende ein sogenannter Sicherheitsbeweis. Heißt: Es ist mathematisch kein Angriff möglich - einschließlich aller denkbaren und nicht denkbaren bisher unbekannten Angriffe. Geht die Gleichung dagegen nicht auf, bedeutet das zum Beispiel: Der Angreifer C kann sich als unbescholtener A ausgeben. Würtele: "Unser Modell ist nach wie vor das detaillierteste Modell, sozusagen die Speerspitze der Forschung. Wir können damit sehr komplexe Protokolle in hohem Detailgrad untersuchen, und das ohne alle Details aus tausenden Seiten Standards gleichzeitig im Kopf haben zu müssen." Mit dem Modell gelang es in der Vergangenheit immer wieder, neuartige Angriffe zu entdecken - selbst dann, wenn die analysierten Protokolle vorher schon in anderen Modellen untersucht worden waren.
Publikationen kompakt
In unserer Reihe "Publikationen kompakt" finden Sie weitere Meldungen, die Forschungserkenntnisse aus Stuttgarter Publikationen greifbar machen - klar, verständlich und für alle zugänglich.
Fachlicher Kontakt:
Dr. Tim Würtele, Universität Stuttgart, Institut für Informationssicherheit (SEC), Tel.: +49 711 685 88468,
Zur Publikation
Pedram Hosseyni, Ralf Küsters, and Tim Würtele, "Audience Injection Attacks: A New Class of Attacks on Web-Based Authorization and Authentication Standards," in 47th IEEE Symposium on Security and Privacy (S&P 2026), 2026, pp. 205-222. DOI: 10.1109/SP63933.2026.00116
Universität Stuttgart published this content on May 21, 2026, and is solely responsible for the information contained herein. Distributed via Public Technologies (PUBT), unedited and unaltered, on May 21, 2026 at 06:58 UTC. If you believe the information included in the content is inaccurate or outdated and requires editing or removal, please contact us at [email protected]