Document Actions

SSL-Verschlüsselung

Auf die Zertifizierungsstelle kommt es an!

Gelingt der Angriff auf eine Zertifizierungsstelle, ist die Sicherheit vieler SSL-verschlüsselter Webseiten bedroht. Ahnungslose Internetnutzer könnten leicht getäuscht werden. Ab 1. Juli 2012 soll ein neuer Sicherheitsstandard für Zertifizierungsstellen für Abhilfe sorgen.

Einheitliche Standards sollen die Sicherheit von SSL-Verschlüsselungen erhöhen

Einheitliche Standards sollen die Sicherheit von SSL-Verschlüsselungen erhöhen

Verschlüsselte Verbindung, aber mit wem eigentlich?

Sicherlich haben Sie bereits mehrmals in Ihrer Datenschutzunterweisung davor gewarnt, personenbezogene Daten über das Internet zu übertragen, wenn keine SSL-Verschlüsselung vorliegt.

Dieser Sicherheitshinweis ist gut und richtig, greift aber zu kurz. Schließlich möchte man die Daten nicht nur verschlüsselt, sondern auch nur an den richtigen Empfänger übertragen.

Das Zertifikat war doch gültig!?

Die Echtheit des Empfängers wird bekanntlich durch ein entsprechendes digitales Zertifikat nachgewiesen. Wenn das Zertifikat nicht passt, also einen anderen Empfänger nennt oder zum Beispiel veraltet ist, dann meldet dies der Webbrowser.

Was aber, wenn das Zertifikat gültig und echt, aber gestohlen ist? Oder wenn das Zertifikat für einen Betrüger ausgestellt wurde? Dann hat die Zertifizierungsstelle einen gefährlichen Fehler gemacht. Leider passiert dies gar nicht so selten.

Mehr zum Thema SSL-Verschlüsselung

 

Fehlende Antragsprüfung, unzureichende Sicherheit

So gibt es durchaus Zertifizierungsstellen, die ein digitales Zertifikat ohne weitergehende Prüfung des Antragstellers vergeben. Ob die angegebene Identität wirklich stimmt, wird nicht genau genug geprüft.

Oder aber die Zertifikate der Kunden werden nicht sicher genug aufbewahrt und können gestohlen werden. Mitunter gelingt es Hackern auch, so tief in die Systeme einzelner Zertifizierungsstellen einzudringen, dass sie sich nahezu jedes Wunsch-Zertifikat selbst ausstellen können. Erfolgreiche Angriffe sind zum Beispiel bei Comodo und bei DigiNotar bekannt geworden. DigiNotar ist inzwischen nicht mehr aktiv.

Mehr zum Thema Zertifizierungsstelle

 

Nutzer sind nahezu machtlos

Mit den gestohlenen oder manipulierten SSL-Zertifikaten können die Angreifer die Identität eines bekannten Unternehmens vortäuschen. Die Nutzer tappen ahnungslos in die Falle und geben ihre Daten in die verschlüsselte Webseite ein, die dann bei den Internetkriminellen landen. Der Webbrowser kann zu Beginn nicht warnen, solange der Diebstahl oder die Manipulation nicht bekannt ist. Erst dann können die betroffenen Zertifikate für ungültig erklärt und zurückgezogen werden.

Als Nutzer sollte man in jedem Fall auf automatische Browser-Updates und auf mögliche Warnmeldungen des Browsers zu SSL-Zertifikaten achten.

Einheitlicher Sicherheitsstandard gefordert

Es ist nur zu verständlich, dass Sicherheitsexperten immer wieder einheitliche, verlässliche Sicherheitsstandards und Vergabeprozesse für Zertifizierungsstellen gefordert haben.

Ab 1. Juli 2012 soll es nun solche einheitlichen Vorgaben geben. Das CA / Browser Forum hat eine entsprechende Richtlinie veröffentlicht. Die Richtlinie umfasst zum Beispiel:

  • Identitätsprüfung beim Antragssteller
  • Zertifikat-Inhalte und -Profile
  • Sicherheitsvorgaben für Zertifizierungsstellen
  • Widerrufmechanismen
  • Algorithmen und Schlüsselwort-Umfang
  • Haftung
  • Vertraulichkeit und Datenschutz 
  • Zertifikat-Delegierung

In der Richtlinie kann man auch sehen, welche Zertifizierungsstellen sich zur Einhaltung des Standards verpflichtet und welche Softwareanbieter an dem Standard mitgewirkt haben.

Die gute Nachricht: 94 Prozent der SSL-Zertifikate werden dann nach dieser Richtlinie vergeben und gesichert. Die schlechte Nachricht ist, dass sechs Prozent wohl weiterhin unklare Vergabeverfahren und Sicherheitsvorkehrungen nutzen werden.


Download:


Wenn Ihr Unternehmen also selbst SSL-Zertifikate einsetzt, sollten Sie mit der IT-Administration und dem Einkauf über den neuen Standard sprechen. Gehört die genutzte Zertifizierungsstelle zu den Unterzeichnern? In jedem Fall sollten Sie die Internetnutzer im Unternehmen auf die möglichen Browser-Warnungen ansprechen. Nutzen Sie dazu am besten die aktuelle Mitarbeiterinformation.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Veröffentlicht:
2012-02-06

Diesen Artikel bookmarken bei...
Mister Wong del.icio.us Folkd Furl Google Linkarena oneview Yahoo MyWeb BlinkList YiGG Webnews Xing
Newsletter Datenschutz PRAXIS aktuell
  • Der kostenlose Newsletter informiert Sie über alles Wissenswerte, damit Sie an vorderster Front mitreden können.
Choose a newsletter
Datenschutz PRAXIS Urteil der Woche
Datenschutz PRAXIS aktuell abonnieren
Bitte geben Sie Ihre E-Mail-Adresse ein