Wenn selbst die Zertifikate versagen
Forscher aus Darmstadt haben eine Sicherheitslücke bei der Prüfung der Echtheit von Webseiten gefunden.
Wenn es um das Thema Sicherheit im Internet geht, spielen digitale Zertifikate eine große Rolle. Doch so wichtig sie auch sind – nur jeder sechste Internetnutzer in Deutschland kann laut einer Umfrage der Bundesdruckerei erklären, worum es sich dabei eigentlich handelt. Dabei ist ihre Funktion im Grunde simpel. Ein Zertifikat ist ein Schutzschild für eine digitale Identität. Mit ihm kann sich zum Beispiel der Betreiber einer Webseite in der Onlinewelt zweifelsfrei identifizieren. Zertifikate sind ein wichtiger Schutz vor Fälschung und Manipulation. Ausgestellt werden sie von speziellen Zertifizierungsstellen.
Digitale Zertifikate begegnen jedem Internet-Nutzer jeden Tag. Sie sind Grundlage des Sicherheitsprotokolls, das viele Webseiten schützt. In der Adresszeile eines Browsers signalisiert ein grünes Schloss-Symbol, wenn die Verbindung sicher ist. Das bedeutet, dass das Internet-Programm ein Zertifikat des Seitenbetreibers überprüft hat und zu einem positiven Ergebnis gelangt ist: Die Identität der Website ist kontrolliert worden und die Seite gilt daher als vertrauenswürdig.
Doch im Internet ist Sicherheit ein relativer Begriff. Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie (Darmstadt) um Professor Haya Shulman berichtet nun über eine Möglichkeit, solche Zertifikate zu fälschen. Diese werden von sogenannten Certificate Authorities (CA) ausgestellt – das können staatliche oder private Organisationen sein. Praktisch alle gängigen Organisationen verwendeten dabei eine Methode namens Domain Validation (DV), um die Identität einer Webseite zu bestätigen, erklären die Darmstädter Informatiker. Doch dieses Verfahren sei „grundsätzlich fehlerhaft“und könne wesentlich leichter als bisher angenommen ausgetrickst werden. Die Angriffsmethode, welche die Fraunhofer-Informatiker nicht detailliert erklären, „sei technisch ziemlich kompliziert“einzurichten. Danach sei aber kein besonderer Aufwand mehr mit einer Cyber-Attacke verbunden. Im Prinzip genügten ein Laptop und eine Internetverbindung, um von einer Zertifizierungsstelle ein echtes Zertifikat für eine gefälschte Webseite zu erhalten. Hacker müssten anschließend nur noch eine eigene Webseite einrichten, die zum Beispiel einen beliebten Online-Shop perfekt nachahmt, um dort massenweise Kunden-Zugangsdaten abgreifen zu können. Die weit verbreiteten Webbrowser der großen Internet-Unternehmen würden diesen digitalen Ausweis dann anstandslos als echt akzeptieren, erläutert Professor Michael Waidner vom Darmstädter Fraunhofer-Institut.
Der normale Internet-Nutzer könne wenig tun, um diese Maskerade zu durchschauen, erklärt Waidner. Wer sich absichern wolle, könne sich allenfalls im Browser das Sicherheitszertifikat anzeigen lassen, das die besuchte Seite vorweist. Dazu genüge es, in der Adresszeile einer geschützten Webseite auf das grüne Schloss-Symbol zu klicken und danach im sich öffnenden Fenster auf „Zertifikat“. Wenn dort der Hinweis „Extended Validation“angezeigt werde, sei das ein Hinweis, dass dieses Sicherheitszertifikat besonders gut geschützt sei, sagt Waidner.
Die Informatiker des Fraunhofer-Instituts haben, wie sie erklären, die deutschen Sicherheitsbehörden und Aussteller der Webzertifikate über die Sicherheitslücke informiert und eine verbesserte Version der Domain Validation entwickelt. Das Interesse, so erklärt Waidner, sei sehr groß gewesen.