 |
# taz.de -- Verschlüsselung im Netz: Wenn der digitale Notar schlampt |
|
|
|
> Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren |
|
> iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über |
|
> Wochen unentdeckt. |
|
|
 |
Bild: Sicher ist nicht immer sicher: Schloss. |
|
|
|
"Am 19. Juli hat DigiNotar einen Angriff auf seine Zertifikatsinfrastruktur |
|
entdeckt", teilte das niederländischen Unternehmen in dieser Woche mit. Die |
|
unbekannten Angreifer waren in die Server des Sicherheitsdienstleisters |
|
eingedrungen und hatten dort so genannte SSL-Zertifikate erstellt, mit |
|
denen sie sich unter anderem als Google ausgeben konnten. |
|
|
|
Doch obwohl DigiNotar den Einbruch entdeckte und in aller Stille versuchte |
|
die betrügerischen Zertifikate zu widerrufen, blieben einige unentdeckt. |
|
Darunter auch ein Zertifikat, das iranische Nutzer des Dienstes Google Mail |
|
absichern sollte. Auch Webseiten des Verschlüsselungsnetzwerkes Tor sollen |
|
Ziel der Attacken gewesen sein – wahrscheinlich aber ohne Erfolg. |
|
|
|
Google selbst versichert: "Nutzer von Google Chrome waren vor den Attacken |
|
geschützt, weil der Browser die betrügerischen Zertifikate identifizieren |
|
konnte." Doch ob die Nutzer die Warnhinweise weggeklickt haben, ist |
|
keineswegs sicher. Andere Browserhersteller zogen nach, nachdem die |
|
Attacken bekannt wurden. |
|
|
|
## Gegen Lauscher und Identitätsdiebe |
|
|
|
Die SSL-Verschlüsselung soll eine sichere Sache sein. Wenn Nutzer auf eine |
|
verschlüsselte Seite surfen, erscheint ein kleines Schloss in der |
|
Symbolleiste des Browsers, das signalisiert: die Kommunikation ist |
|
verschlüsselt. SSL soll nicht nur sicherstellen, dass niemand die Eingaben |
|
auf dem Weg zwischen Browser und Server belauschen kann, die Zertifikate |
|
sollen zudem die Identität des Servers bestätigen. Die Technik ist seit |
|
über 15 Jahren im Einsatz - Banken, Onlineshops und Kommunikationsanbieter |
|
setzen sie ein. |
|
|
|
Mit gefälschten Zertifikaten sind so genannte "Man in the middle"-Attacken |
|
möglich. Der Angreifer schaltet sich zwischen Anbieter und Surfer und kann |
|
jede Eingabe mitlesen, bevor er sie an den legitimen Server weitergereicht |
|
werden. Der Nutzer selbst merkt davon nichts. Gerade für staatlich |
|
kontrollierte Internet-Provider ist das einfach möglich. Der Schaden ist |
|
noch nicht abzusehen. Zwar gibt es Hinweise darauf, dass die Zertifikate |
|
wirklich eingesetzt wurden, doch noch ist absolut unklar, wen die Angreifer |
|
tatsächlich belauschen konnten. |
|
|
|
Für die Sicherheit der SSL-Verschlüsselung sollten die Registrare |
|
einstehen. Doch erst im April wurde die Sicherheit des Systems nachhaltig |
|
in Frage gestellt. Den bis heute unbekannten Angreifern war es |
|
[1][//taz.de/Angriff-auf-sichere-Online-Verbindungen/!68791/%E2%80%9C:mehrf |
|
ach gelungen] in die Systeme des Registrars Comodo einzudringen und dort |
|
quasi nach Belieben Zertifikate auszustellen. Die Browserhersteller |
|
beeilten sich seither die Prüfung von Zertifikaten zu verbessern. |
|
|
|
## Ein halber Wurm |
|
|
|
Dass der neue Fall aber so lange unentdeckt blieb, wirft jedoch ein |
|
schlechtes Licht auf das gesamte System. Die Electronic Frontier Foundation |
|
fasst es so zusammen: "Was ist schlimmer als einen Wurm im Apfel zu finden? |
|
Einen halben Wurm zu entdecken." Denn wenn die Angreifer das |
|
Sicherheitssystem so einfach und unentdeckt aushebeln konnten, stellt sich |
|
die Frage: welche Sicherheitslücken wurden noch nicht entdeckt? |
|
|
|
"Das Zertifikationssystem wurde vor Jahrzehnten entwickelt, in einer Zeit, |
|
als das größte Augenmerk darauf lag, dass Nutzer ihre |
|
Kreditkarteninformationen übertragen konnten ohne abgehört zu werden. Heute |
|
verlassen sich jedoch viele Internet-Nutzer auf die Technik, um ihre |
|
Privatsphäre gegen Nationalstaaten abzusichern. Wir bezweifeln, dass das |
|
System diese Bürde tragen kann", heißt es in der |
|
[2][//www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-googl |
|
e:Stellungnahme der Bürgerrechtler.] Doch ein Ersatz-System ist derzeit |
|
nicht in Sicht. Browser-Hersteller und Registrare müssen sich daher |
|
bemühen, das System ständig zu verbessern. |
|
|
|
2 Sep 2011 |
|
|
|
## LINKS |
|
|
 |
[1] http://typo3/%E2%80%9Chttp |
|
[2] http://https |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Datenschutzfreundliche Provider: Sie wollen's nicht wissen |
|
|
|
Der US-Amerikaner Nicholas Merrill träumt von einem Provider, der maximalen |
|
Nutzerschutz gewährt. Das Projekt des Calyx Institute scheitert vorerst am |
|
Geld. |
|
|
|
Hackerangriff auf Zertifikate: "Mobile Nutzer können nur beten" |
|
|
|
Der IT-Sicherheitsexperte Christopher Soghoian über den Einbruch beim |
|
holländischen Unternehmen Diginotar und die vielen Nachwirkungen für die |
|
Nutzer. |
|
|
|
Digitale Zertifikate: SSL in Gefahr |
|
|
|
Der Einbruch beim Sicherheitsdienstleister Diginotar zieht weite Kreise, |
|
selbst die niederländische Regierung kommt in Bedrängnis. Weitere Angriffe |
|
könnten folgen. |
|
|
|
Angriff auf sichere Online-Verbindungen: SSL-Zertifikate in falschen Händen |
|
|
|
Sind sichere Verbindungen noch sicher? Ein Angriff aus dem Iran auf den |
|
Sicherheitsdienstleister Comodo sorgt in der IT-Community für |
|
Verunsicherung. |
