SSL-Zertifikate Wer liest da eigentlich mit?
Unbekannte Hacker bringen das Sicherheitssystem des Internets ins Wanken: Sie fälschten mehr als 500 SSL- Zertifikate. Mit diesen Sicherheitszertifikaten konnten sich die Hacker als Google, Yahoo, CIA, Facebook oder Twitter ausgeben und sich unbemerkt in die Kommunikation einschalten. Hinter dem Hackerangriff wird der Iran als Drahtzieher vermutet.
SSL-Zertifikate authentifizieren Webseiten als echt. Sie sind die Sicherheitspolizei des Internets und garantieren, dass die Verbindung nicht abgefangen und belauscht wird, dass Daten nicht in unbefugte Hände gelangen. Opfer des Angriffs war der niederländische Zertifikatsaussteller Diginotar, der mit den Web-Ausweisen eigentlich für Sicherheit und Vertrauen im Netz sorgen will. Da der Angriff einer Katastrophe und Bankrotterklärung für das Unternehmen gleichkam, kehrte das Unternehmen den Einbruch unter den Teppich bis er erst fünf Wochen später an die Öffentlichkeit kam. Während dieser fünf langen Wochen hatte die iranische Regierung möglicherweise freie Hand zum Missbrauch der Zertifikate und konnte iranische Regimegegner und verdächtige Bürgerinnen und Bürger ungehindert ausspionieren und von allen Seiten beleuchten.
Diese massive Sicherheitslücke hat die Browserhersteller zu Recht, wenn auch zu spät, auf breiter Basis veranlasst, Diginotar aus den Trust Lists zu streichen. Für die Kunden dieses Anbieters bedeutet es, dass die (teuren!) Sicherheits-Zertifikate für ihre Webseite unbrauchbar geworden sind. Die Besucher der betroffenen Seiten erhalten, wenn kein erneut kostenpflichtiges Ersatz-Zertifikat eingesetzt wird, eine Warnung von ihrem Browser, die das Zertifikat als zweifelhaft kennzeichnet.
Dass es diktatorischen Regimen an krimineller Energie nicht mangelt, mag vielleicht eine Binsenweisheit sein, aber der Angriff auf Sicherheitszertifikate, übrigens nicht der erste, verweist auf folgende drei Punkte:
- Öffentlich verfügbare digitale Infrastrukturen werden heute in großem Stil und mit hoher krimineller und nachrichtendienstlicher Energie angegriffen
- Gleichzeitig ist eine Masse von Menschen nicht aufgeklärt, weiß Browserwarnungen nicht richtig zu deuten und gewährt so unbedacht Kriminellen Zutritt zu ihren Daten.
- Das Zertifkate-System bedarf einer Reform. So lange muss man offenbar immer damit rechen, mit gefälschten Zertifikaten getäuscht zu werden.
Während wir uns noch über Google Street View, personalisierte Werbung oder die Gesichtserkennung bei Facebook ärgern, werden unbemerkt Angriffe aus ganz anderer Richtung gestartet, die erst viel zu spät an die Öffentlichkeit gelangen. Diese massiven Sicherheitsmängel können für Bürgerinnen und Bürger autoritärer Regimes lebensbedrohliche Auswirkungen haben, ganze Familien zerstören. Aber auch für uns sind sie gefährlich. Bankdaten, Polizeidaten oder Daten der Finanz- oder Sozialbehörden – sie werden aktuell durch SSL- Zertifikate geschützt.
Eine Gefahr durch gefälschte SSL-Zertifikate besteht allerdings erst dann, wenn weitere Teile der Infrastruktur des Internets kompromittiert wurden. Um einem Nutzer mit einem Zertifikat eine falsche Identität vorzugaukeln ist es zunächst erforderlich, dass auch der Webseitenaufruf (beispielsweise www.google.de) an eine falsche Adresse geleitet wurde oder auf dem Verbindungsweg ein Mitschnitt erfolgte. Eine solche Zentralisierung findet sich allerdings nur dort, in denen sich die Telekommunikationsinfrastruktur unter staatlicher Kontrolle befindet; hierzulande ist die Gefahr, auf ein gefälschtes Zertifikat zu stoßen, vergleichsweise gering.