Web-Zertifikate
Angriff auf die „Ausweise des Internets“

Zertifikate sind die Ausweise des Internets. Durch den Einbruch bei einer IT-Sicherheitsfirma konnten nun mehr als 500 dieser Zertifikate gefälscht werden. Die Täter sind offenbar keine gewöhnlichen Kriminellen.
  • 2

DüsseldorfWer Daten an eine Website sendet, hat unter normalen Umständen keine Garantie dafür, wo diese landen. Zudem werden die Daten ganz ohne jede Verschlüsselung zu der Website gesendet – ähnlich einer Postkarte, bei der jeder, an der an ihrem Transport beteiligt ist, den Inhalt lesen kann. Erst SSL-Zertifikate lösen diese beiden Probleme: Die Daten werden über eine verschlüsselte SSL-Verbdindung gesendet, ein signierten Zertifikats stellt die Identität der Gegenstelle sicher.

Das ist überall dort wichtig, wo sensible Daten übertragen werden – also beispielsweise beim Online-Banking oder bei Bestellvorgängen. Ein vorangestelltes „https://“ zeigt, dass die Kommunikation verschlüsselt abläuft.

Jeder kann ein solches Zertifikat signieren. Doch damit die großen Browser vor dem Zertifikat nicht warnen, muss es von einer Stelle signiert sein, der Microsoft, Mozilla und die anderen Browserhersteller auch vertrauen. Diese Signatur-Unternehmen – das größte und bekannteste ist der amerikanische Anbieter Verisign – sind sozusagen die Ausweisstellen des Internets, bei denen die Anbieter von Webseiten ihre Signaturen einkaufen.

Genau an dieser Stelle hat sich jedoch ein klaffendes Sicherheitsleck aufgetan. Eine der Firmen, der die großen Browserhersteller vertrauen, das niederländische Unternehmen Diginotar, ist Ziel einer Hackerattacke geworden. Unbekannten gelang der Einbruch in die Systeme der Internet-Sicherherheitsfirma – mit weitreichenden Folgen: Die erbeuteten Daten nutzten die Hacker, um massenhaft gefälschte SSL-Zertifikate auszustellen. Mehr als 500 gefälschte Zertifikate haben Experten bislang gefunden. Damit könnten Cyberkriminelle täuschend echte Kopien der Webseiten unter leicht veränderten Web-Adressen erstellen und den Nutzern eine gesicherte Verbindung zu dem Anbieter vorgaukeln.

Seite 1:

Angriff auf die „Ausweise des Internets“

Seite 2:

Heiße Spur führt nach Iran

Kommentare zu " Web-Zertifikate: Angriff auf die „Ausweise des Internets“"

Alle Kommentare

Dieser Beitrag kann nicht mehr kommentiert werden. Sie können wochentags von 8 bis 18 Uhr kommentieren, wenn Sie angemeldeter Handelsblatt-Online-Leser sind. Die Inhalte sind bis zu sieben Tage nach Erscheinen kommentierbar.

  • Vielen Dank, das "e" ist ergänzt.

  • Das Ausprobieren von Kennwörtern nennt sich "Brute-Force-Angriff".

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%