Hackerangriff auf Zertifikate: "Mobile Nutzer können nur beten"
Der IT-Sicherheitsexperte Christopher Soghoian über den Einbruch beim holländischen Unternehmen Diginotar und die vielen Nachwirkungen für die Nutzer.
Im September wurde ein Großangriff auf das niederländische Sicherheitsunternehmen Diginotar bekannt. Einem Hacker war es gelungen, in die sogenannte Certificate Authority einzubrechen und sich Zertifikate für zahllose bekannte Websites auszustellen.
Die werden benötigt, wenn Nutzer verschlüsselte Verbindungen über das SSL-Protokoll aufbauen, um sicherzustellen, dass es sich bei der Gegenstelle um beispielsweise Google oder Facebook handelt. Mit dem Zugriff auf Diginotar wurde es möglich, diese Zertifikate zu imitieren.
Diginotar selbst ist mittlerweile pleite, doch der Angriff sei nur einer der ersten innerhalb einer anrollenden Welle. SSL an sich sei gefährdet, so Soghoian.
taz.de: Herr Soghoian, waren Sie überrascht von dem, was sich bei Diginotar abgespielt hat oder war es nur eine Frage der Zeit, dass sich Hacks auf Certificate Authorities (CA) mehren?
Christopher Soghoian: Ja und nein. Hat es mich überrascht, dass die Sicherheit bei Diginotar so schlecht war? Sicher. Bei allem, was wir bislang gesehen haben, ist davon auszugehen, dass da vieles extrem ungeschützt lief. Dass CAs angegriffen werden, überrascht mich dagegen gar nicht - auch nicht, dass es in diesem Fall offenbar Hacker waren, die mit einer Regierung in Verbindung standen.
ist Sicherheitsexperte. Er hat lange für die US-Handelsaufsicht FTC gearbeitet und ist heute beim Think Tank Open Society tätig, der sich IT-Security befasst.
In den letzten ein, zwei Jahren sehen wir den Trend, dass wichtige Websites standardmäßig verschlüsseln. Im Januar 2010 begann Google damit, sein Mailangebot mit SSL zu schützen. Vorher war es für ein Regime sehr einfach, Google-Nutzer abzuhören. Nun ging das nicht mehr so leicht. Da hat man dann Auswege gesucht wie diesen Hack.
War es in diesem Fall wirklich der Iran?
Was wir wissen, ist, dass es 300.000 Verbindungsanfragen von iranischen Nutzern gab in Richtung dieser gefälschten Zertifikate. Die iranische Regierung hat hier eindeutig das größte Motiv.
Das System der CAs ist recht komplex. Hunderte Firmen können diese Zertifikate vergeben. Sie selbst kritisieren das.
Es ist zwar nicht so einfach, ein Verkäufer von Zertifikaten zu werden, doch wenn man einmal von den großen Browser-Herstellern anerkannt ist, dann wirkt das wie eine Lizenz, Geld zu drucken. Und dann ist es auch egal, wie schlecht die eigene Sicherheitslage ist.
Wenn eine CA einmal gehackt ist, was kann dann getan werden?
Bei Diginotar haben die meisten Browser- und Betriebssystemhersteller die Berechtigung für die Zertifikate der Firma gelöscht. Das funktionierte aber nur deshalb so einfach, weil es sich um eine relativ kleine CA handelt. Als vor einigen Monaten der große Zertifikateaussteller Comodo gehackt wurde, wurde dieser nicht ganz gesperrt, sondern nur punktuell. Bei Diginotar machte die Abschaltung keine großen Probleme - man spürte das vor allem in den Niederlanden.
Comodo war dagegen für 15 Prozent der Zertifikate im Web verantwortlich. Comodo ist damit quasi "Too Big To Fail", wie viele Kommentatoren meinten. Die Browser-Hersteller können einen großen Zertifikate-Anbieter also gar nicht bestrafen, weil dann das halbe Web nicht mehr funktionieren würde.
Um sich vor gefälschten Zertifikaten zu schützen, muss man seinen Rechner stets auf dem neuesten Stand halten. Im Fall Diginotar scheint das ganz gut geklappt zu haben.
Zwar kamen von den Browser-Anbietern schnell Updates heraus, doch das bedeutet ja nicht, dass die auch bei den Nutzern ankommen. Es wird immer noch Millionen von Nutzern mit alten Browsern geben, die kein Update bekommen. Noch schlimmer sieht es auf den Mobilplattformen aus. Google hat zwar beispielsweise für seinen Browser Chrome für PC und Mac ein Update veröffentlicht, aber nicht für sein Mobilbetriebssystem Android. Ähnlich sieht es bei Apple mit iOS, also dem iPhone-Betriebssystem, aus. Man kann also nicht wirklich sagen, dass das gut klappt.
Was können Mobilnutzer also tun?
Die können eigentlich nur beten. Und das ist nicht gerade die beste Art von IT-Sicherheit. Am Desktop-PC kann man sich ja schützen. Und das Problem wird sich noch verschärfen: Ich erwarte, das künftig noch weitere Zertifikats-Aussteller gehackt werden.
Es gibt schließlich mehr als 600 davon und ein paar werden sicher keine besonders guten Sicherheitsmaßnahmen getroffen haben. Die Motivation für Regime, solche Angriffsziele zu wählen, ist wirklich groß, weil sie sonst nicht mehr so leicht schnüffeln können. Wenn sie dann in eine CA reinhacken müssen, machen sie das halt.
Interview: Ben Schwan
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Auflösung der Ampel-Regierung
Holpriger Versuch endgültig gescheitert
+++ Ampelkoalition zerbricht +++
Lindner findet sich spitze
Auflösung der Ampel-Regierung
Drängel-Merz
Trumps Sieg bei US-Präsidentschaftswahl
Harris, Biden, die Elite? Wer hat Schuld?
Wirtschaftspolitik der FDP
Falsch und verlogen
Ampelkoalition zerbricht
Scholz will Vertrauensfrage stellen