Angriff auf sichere Online-Verbindungen: SSL-Zertifikate in falschen Händen

Die "Secure Socket Layer"-Technik (SSL) gehört zu den Grundlagen des Internetverkehrs. Jede Onlinebanking-Plattform, jeder halbwegs seröse Online-Shop und immer mehr soziale Netzwerke wie Facebook setzen die Verschlüsselung ein, um ihre Kunden vor Datendiebstahl zu retten.

Wann immer in der Statusleiste des Browsers ein kleines Schloss erscheint, ist SSL im Einsatz. Die Verschlüsselung stellt nicht nur sicher, dass niemand den Datenverkehr abhören kann, sie authentifiziert den Anbieter auch, so dass Anmeldedaten und private Nachrichten nicht an den falschen Server geschickt werden.

Das Vertrauen in die Technik wird nun durch einen spektakulären Angriff auf den Sicherheitsdienstleister Comodo gestört. Die Firma stellt SSL-Zertifikate aus, mit denen sich die Anbieter ausweisen können und die von allen gebräuchlichen Browsern ohne weitere Nachfrage akzeptiert werden. Bereits im März gelang es einem unbekannten Angreifer über die Computer eines Geschäftspartners in die Systeme von Comodo einzudringen. Den freien Zugang nutzte er, um sich selbst Zertifikate auszustellen.

Der Hacker erbeutete so Zertifikate, mit denen er sich als Microsoft, Google, Yahoo, Skype oder Mozilla ausgeben konnte. Obwohl kein Hinweis gefunden wurde, dass der Angreifer die Zertifikate wirklich nutzte, sind IT-Sicherheitsexperten alarmiert. Comodo konnte den Angriff in den Iran zurückverfolgen. Mit den Zertifikaten hätte der Hacker gefälschte Updates von beliebten Programmen verbreiten oder den Datenverkehr von Angeboten wie Google Mail oder Hotmail abfangen können.

Angriff auf E-Mail-Anbieter?

"Meiner Meinung nach versucht jemand die Nachrichten von anderen Leuten zu lesen", sagte Comodo-Manager Melih Abdulhayoglu in einem Interview mit Wired.com. Um die Attacke auszuführen, benötige er aber Zugriff auf das Domain Name System, das für die Namensauflösung von Webseiten zuständig ist.

Doch dies kann kaum beruhigen: Mittlerweile haben sich viele Kriminelle darauf spezialisiert, Surfer auf falsche Webseiten zu locken, um dort Zugangsdaten abzugreifen. Mit den gefälschten SSL-Zertifikaten haben solche Kriminelle fast freie Bahn. Doch auch für Geheimdienste sind sie sehr interessant - so benutzen Oppositionelle in Diktaturen oft die Web-Mail-Dienste aus dem Westen.

Genährt werden diese Spekulationen von einem Bekennerschreiben. In gebrochenem Englisch erklärte der angebliche Angreifer, wie er in die streng gesicherten Systeme von Comodo gelangen konnte. Demnach sei er erst in die Rechner eines italienischen Vertriebspartners eingedrungen und habe dort die geheimen Anmeldedaten für die Zertifikatserstellung gefunden. "Ich bin nur ein Hacker, haber aber die Erfahrung von 1.000 anderen Hackern", prahlt der Autor.

Iranische Oppositionelle bedroht

Brisanter ist: Er identifiziert sich als regimetreuer Iraner, der allen Kräften droht, die gegen die Interessen seines Landes verstoßen. "Ich werde niemandem im Iran erlauben meinem Volk zu Schaden, den Nuklearwissenschaftlern meines Landes, meinem Führer, meinem Präsidenten. Solange ich lebe, werdet ihr das nicht schaffen", schreibt der Unbekannte.

Experten streiten darüber, ob die Version eines Einzeltäters realistisch ist oder ob vielleicht doch eine Gruppe oder gar ein Geheimdienst hinter den Angriffen steht. Eine Überprüfung der Verschlüsselungs-Infrastruktur ergab handfeste Schwachstellen. Apples Webbrowser Safari war ungenügend gegen solche Attacken gesichert und konnte selbst nach Entdeckung des Angriffs die gefälschten Zertifikate nicht erkennen. Auch die anderen Browser-Hersteller mussten mit Updates auf den Angriff reagieren.

Fraglich ist, ob alle gefälschten Zertifikate gefunden wurden. Der "Comodo Hacker" behauptet, zwei weitere Unternehmen erfolgreich angegriffen zu haben. Unterdessen beraten Sicherheitsexperten, wie man ähnliche Angriffe in Zukunft ausschließen kann. Auf dem Treffen der Internet Engineering Task Force in Prag wurden Gegenmaßnahmen beraten. Zum Beispiel sollen Provider in einem Verzeichnis eintragen, welcher Zertifikatsanbieter für welche Domain zuständig ist.

Das wiederum setzt voraus, dass alle Anbieter sorgfältig arbeiten. Google hat schon mit einer prophylaktischen Sammlung von SSL-Zertifikaten begonnen. So will die Firma den Nutzer vor unerwarteten Zertifikatswechseln schützen. Ob eine solche Sammlung, wirklich sinnvoll ist, muss sich noch zeigen. Denn im Fall der Fälle muss sich der Nutzer entscheiden: Vertraut er Google oder dem Anbieter, dessen Webseite er aufrufen will?