Verschlüsselung im Netz: Wenn der digitale Notar schlampt

Abermals wurde die Internetverschlüsselung SSL geknackt, wieder waren iranische Internetnutzer Ziel der Angriffe. Die Angriffe blieben über Wochen unentdeckt.

Sicher ist nicht immer sicher: Schloss. Bild: Photocase / carlitos

"Am 19. Juli hat DigiNotar einen Angriff auf seine Zertifikatsinfrastruktur entdeckt", teilte das niederländischen Unternehmen in dieser Woche mit. Die unbekannten Angreifer waren in die Server des Sicherheitsdienstleisters eingedrungen und hatten dort so genannte SSL-Zertifikate erstellt, mit denen sie sich unter anderem als Google ausgeben konnten.

Doch obwohl DigiNotar den Einbruch entdeckte und in aller Stille versuchte die betrügerischen Zertifikate zu widerrufen, blieben einige unentdeckt. Darunter auch ein Zertifikat, das iranische Nutzer des Dienstes Google Mail absichern sollte. Auch Webseiten des Verschlüsselungsnetzwerkes Tor sollen Ziel der Attacken gewesen sein – wahrscheinlich aber ohne Erfolg.

Google selbst versichert: "Nutzer von Google Chrome waren vor den Attacken geschützt, weil der Browser die betrügerischen Zertifikate identifizieren konnte." Doch ob die Nutzer die Warnhinweise weggeklickt haben, ist keineswegs sicher. Andere Browserhersteller zogen nach, nachdem die Attacken bekannt wurden.

Gegen Lauscher und Identitätsdiebe

Die SSL-Verschlüsselung soll eine sichere Sache sein. Wenn Nutzer auf eine verschlüsselte Seite surfen, erscheint ein kleines Schloss in der Symbolleiste des Browsers, das signalisiert: die Kommunikation ist verschlüsselt. SSL soll nicht nur sicherstellen, dass niemand die Eingaben auf dem Weg zwischen Browser und Server belauschen kann, die Zertifikate sollen zudem die Identität des Servers bestätigen. Die Technik ist seit über 15 Jahren im Einsatz - Banken, Onlineshops und Kommunikationsanbieter setzen sie ein.

Mit gefälschten Zertifikaten sind so genannte "Man in the middle"-Attacken möglich. Der Angreifer schaltet sich zwischen Anbieter und Surfer und kann jede Eingabe mitlesen, bevor er sie an den legitimen Server weitergereicht werden. Der Nutzer selbst merkt davon nichts. Gerade für staatlich kontrollierte Internet-Provider ist das einfach möglich. Der Schaden ist noch nicht abzusehen. Zwar gibt es Hinweise darauf, dass die Zertifikate wirklich eingesetzt wurden, doch noch ist absolut unklar, wen die Angreifer tatsächlich belauschen konnten.

Für die Sicherheit der SSL-Verschlüsselung sollten die Registrare einstehen. Doch erst im April wurde die Sicherheit des Systems nachhaltig in Frage gestellt. Den bis heute unbekannten Angreifern war es //taz.de/Angriff-auf-sichere-Online-Verbindungen/!68791/%E2%80%9C:mehrfach gelungen in die Systeme des Registrars Comodo einzudringen und dort quasi nach Belieben Zertifikate auszustellen. Die Browserhersteller beeilten sich seither die Prüfung von Zertifikaten zu verbessern.

Ein halber Wurm

Dass der neue Fall aber so lange unentdeckt blieb, wirft jedoch ein schlechtes Licht auf das gesamte System. Die Electronic Frontier Foundation fasst es so zusammen: "Was ist schlimmer als einen Wurm im Apfel zu finden? Einen halben Wurm zu entdecken." Denn wenn die Angreifer das Sicherheitssystem so einfach und unentdeckt aushebeln konnten, stellt sich die Frage: welche Sicherheitslücken wurden noch nicht entdeckt?

"Das Zertifikationssystem wurde vor Jahrzehnten entwickelt, in einer Zeit, als das größte Augenmerk darauf lag, dass Nutzer ihre Kreditkarteninformationen übertragen konnten ohne abgehört zu werden. Heute verlassen sich jedoch viele Internet-Nutzer auf die Technik, um ihre Privatsphäre gegen Nationalstaaten abzusichern. Wir bezweifeln, dass das System diese Bürde tragen kann", heißt es in der //www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google:Stellungnahme der Bürgerrechtler. Doch ein Ersatz-System ist derzeit nicht in Sicht. Browser-Hersteller und Registrare müssen sich daher bemühen, das System ständig zu verbessern.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.